Рейтинг:2

Программа-вымогатель LockBit использует двойную логику шифрования RSA-ключей

флаг cn

Пытаясь понять современные механизмы программ-вымогателей, я наткнулся на сообщение в блоге о ЛокБит.

Это сбивает меня с толку, так как:

  • Этот вымогатель генерирует пару ключей RSA на зараженном устройство, которое используется для шифрования ключей AES, используемых для шифрования файлов.

  • Затем закрытый ключ этого ключа RSA шифруется открытым ключом. встроенный в программу-вымогатель. Этот ключ уникален для каждой атаки/жертвы.

Итак... какой смысл иметь $2$ пары ключей RSA?

Злоумышленнику в любом случае придется размещать закрытый ключ для каждой жертвы, так зачем такая локальная пара ключей? Нельзя ли использовать открытый встроенный ключ для прямого шифрования ключей AES?

Рейтинг:3
флаг in

Затем закрытый ключ этого ключа RSA шифруется открытым ключом, встроенным в программу-вымогатель. Этот ключ уникален для каждой атаки/жертвы.

Я думаю, что здесь возникает путаница. Это, конечно, не то, что цитирует описание на указанном вами сайте:

Шифрование основано на двух алгоритмах: RSA и AES. Сначала на зараженных рабочих станциях создается пара сеансовых ключей RSA. Эта пара ключей зашифрована с помощью встроенный открытый ключ злоумышленника и сохраняется в реестре ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\LockBit\полный.

«Встроенный открытый ключ злоумышленника», скорее всего, является открытым ключом, который принадлежит злоумышленнику и который встроен в программное обеспечение. Закрытый ключ этой пары ключей хранится злоумышленником в безопасном месте.

Так что я думаю, что это просто недоразумение на самом деле. Программное обеспечение, конечно, может содержать целый набор предварительно сгенерированных открытых ключей, но имеет смысл сгенерировать пару ключей локально, а затем отправить обратно зашифрованный закрытый сеансовый ключ (всякий раз, когда жертва решит заплатить).

Недостатком является, конечно, то, что если жертва каким-то образом может получить закрытый ключ, то все это напрасно - в глазах злоумышленника. Однако, если пару ключей можно сохранить в памяти и уничтожить сразу после генерации/шифрования пары ключей, то злоумышленник сохраняет свое преимущество.

Теперь, чтобы вернуть ваши данные, жертва или программное обеспечение отправляет злоумышленнику «свой» зашифрованный закрытый ключ, злоумышленник может расшифровать его и отправить обратно в виде открытого текста.

Обратите внимание, что для RSA закрытый ключ RSA может быть напрямую зашифрован после генерации, так как вам потребуется только открытый ключ для шифрования. Ключ AES должен присутствовать во время операций шифрования. Так что наличие отдельного асимметричного ключа имеет смысл для злоумышленника.

Ozwel avatar
флаг cn
Спасибо, стало намного понятнее, но осталось одно: если заражены тысячи устройств от компании, я не могу представить жертву, которая попросит расшифровать тысячи закрытых ключей вручную, так как согласно коду для каждого устройства генерируется пара ключей RSA. Итак... в чем хитрость?
Maarten Bodewes avatar
флаг in
Я считаю вероятным, что у вредоносного ПО есть какой-то способ автоматизировать это. Кроме этого, у жертвы не так много выбора — они могут автоматизировать это сами, где это необходимо. Конечно, сервер злоумышленника сможет выполнить это автоматически, предполагая, что известны какие-то идентификаторы ключей (иначе любой сможет расшифровать).
fgrieu avatar
флаг ng
@Ozwel: на основании этого [раздела ссылки на вопрос] (https://blog.lexfo.fr/lockbit-malware.html#decryptor-and-decryption) похоже, что _Decryptor_ содержит закрытый ключ, соответствующий открытому ключу преступника. . Это позволит ему расшифровать ключ RSA всех устройств. Я понятия не имею, предоставляется ли этот инструмент жертвам добровольно (возможно, за плату) или другими субъектами (например, получив закрытый ключ преступника или _Decryptor_ каким-то невыразимым образом).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.