Puncte:2

Logica de criptare a cheilor RSA duble de ranswomware LockBit

drapel cn

În încercarea de a înțelege mecanismele moderne de ransomware, am ajuns pe o postare pe blog despre LockBit.

Acesta este confuz pentru mine deoarece:

  • Acest ransomware generează o pereche de chei RSA pe cei infectați dispozitiv care este folosit pentru a cripta cheile AES utilizate pentru a cripta fișierele.

  • Apoi, cheia privată a acelei chei RSA este criptată cu o cheie publică încorporat în ransomware. Această cheie este unică pentru fiecare atac/victimă.

Deci... ce rost are să ai $2$ perechi de chei RSA?

Oricum, atacatorul ar trebui să găzduiască o cheie privată pentru fiecare victimă, așa că de ce o astfel de pereche de chei locale? Nu ar putea fi folosită cheia publică încorporată pentru a cripta direct cheile AES?

Puncte:3
drapel in

Apoi, cheia privată a acelei chei RSA este criptată cu o cheie publică încorporată în ransomware. Această cheie este unică pentru fiecare atac/victimă.

Cred că aici apare confuzia. Cu siguranță nu asta citează descrierea de pe site-ul pe care îl specificați:

Criptarea se bazează pe doi algoritmi: RSA și AES. În primul rând, o pereche de chei de sesiune RSA este generată pe stațiile de lucru infectate. Această pereche de chei este criptată folosind cheia publică încorporată a atacatorului și salvat în registru SOFTWARE\LockBit\full.

„Cheia publică încorporată a atacatorilor” este probabil o cheie publică care este deținută de atacator și care este încorporată în software. Cheia privată a acelei perechi de chei este păstrată undeva în siguranță de către atacator.

Deci, cred că aceasta este doar o neînțelegere. Software-ul ar putea conține, desigur, o serie întreagă de chei publice pre-generate, dar este mai logic să generezi o pereche de chei la nivel local și apoi să trimiți înapoi cheia de sesiune privată criptată (ori de câte ori victima decide să plătească).

Dezavantajul este - desigur - că dacă victima poate recupera cumva cheia privată, totul este degeaba - în ochii atacatorului. Cu toate acestea, dacă perechea de chei poate fi păstrată în memorie și distrusă direct după generarea/criptarea perechii de chei, atunci atacatorul își păstrează avantajul.

Acum, pentru a vă recupera datele, victima sau software-ul trimite atacatorului cheia privată criptată „lor”, atacatorul le poate decripta și trimite înapoi valoarea textului simplu.

Rețineți că pentru RSA cheia privată RSA poate fi criptată direct după generare, deoarece veți avea nevoie doar de cheia publică pentru criptare. O cheie AES ar trebui să fie prezentă în timpul operațiunilor de criptare. Deci, a avea o cheie asimetrică separată are sens pentru atacator.

Ozwel avatar
drapel cn
Mulțumesc, este mult mai clar, mai rămâne totuși un lucru: dacă mii de dispozitive de la o companie sunt infectate, nu îmi imaginez ca victima să solicite să decripteze manual mii de chei private, deoarece conform codului este generată o pereche de chei RSA pe dispozitiv. Deci... care e trucul?
Maarten Bodewes avatar
drapel in
Aș găsi probabil că malware-ul va avea un fel de modalitate de a automatiza acest lucru. În afară de asta, victima nu are prea multe de ales - ar putea automatiza ea însăși acolo unde este necesar. Cu siguranță serverul atacatorului va putea face acest lucru automat, presupunând că sunt cunoscute un fel de ID-uri de cheie (altfel oricine ar putea decripta).
fgrieu avatar
drapel ng
@Ozwel: pe baza acelei [secțiuni a referinței întrebării](https://blog.lexfo.fr/lockbit-malware.html#decryptor-and-decryption) se pare că _Decryptor_ conține cheia privată care se potrivește cu cheia publică a făptuitorului . Acest lucru l-ar face capabil să descifreze cheia RSA a tuturor dispozitivelor. Nu am idee dacă acel instrument este furnizat de bunăvoie victimelor de către criminal (poate contra plată) sau de alți actori (de exemplu, după ce a obținut cheia privată a criminalului sau _Decryptor_ într-un mod nespus).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.