攻防最前线：通过加密缺陷发现Hive勒索软件的主密钥 -





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

数字转型中的数据资产管理与价值挖掘技术探析

2025-04-25

数据安全，从治理体系开始认清全局

2025-04-24

专家解读 | 人脸识别场景个人信息保护影响评估的关注点

2025-04-23

政策问答：数据出境安全管理（2025年4月）

2025-04-22

一图读懂《网络数据安全管理条例》

2025-04-21

攻防最前线：通过加密缺陷发现Hive勒索软件的主密钥

发布时间：2022-02-23 阅读次数： 264 次

研究人员详细介绍了他们所谓的“第一次成功尝试”，即解密受Hive 勒索软件感染的数据，而不依赖于用于锁定对内容的访问的私钥。

韩国国民大学的一组学者在一篇剖析其加密过程的新论文中表示： “通过使用通过分析确定的加密漏洞，能够在没有攻击者私钥的情况下恢复生成文件加密密钥的主密钥。”

与其他网络犯罪组织一样，Hive 运营着一种勒索软件即服务，使用不同的机制来破坏业务网络、泄露数据并加密网络上的数据，并试图收集赎金以换取对解密软件的访问权限。

它于2021 年 6 月首次被观察到，当时袭击了一家名为 Altus Group 的公司。Hive 利用了多种初始攻击方法，包括易受攻击的 RDP 服务器、泄露的 VPN 凭据以及带有恶意附件的网络钓鱼电子邮件。该组织还实施越来越有利可图的双重勒索方案，其中参与者不仅通过加密还泄露敏感的受害者数据并威胁要在其 Tor 站点“ HiveLeaks ”上泄露信息。

根据区块链分析公司 Chainalysis 的数据，截至 2021 年 10 月 16 日，Hive RaaS 已使至少 355 家公司受害，该集团在 2021 年按收入计算的十大勒索软件品种中排名第八。与该组织相关的恶意活动还促使美国联邦调查局 (FBI) 发布了一份报告，详细说明了攻击的作案手法，并指出勒索软件如何终止与备份、防病毒和文件复制相关的进程以促进加密。

研究人员发现的加密漏洞涉及生成和存储主密钥的机制，勒索软件仅使用从主密钥派生的两个密钥流加密文件的选定部分，而不是整个内容。

研究人员解释说：“对于每个文件加密过程，都需要来自主密钥的两个密钥流，通过从主密钥中选择两个随机偏移量并分别从所选偏移量中提取 0x100000 字节 (1MiB) 和 0x400 字节 (1KiB) 来创建两个密钥流。”

从两个密钥流的XOR 操作创建的加密密钥流然后与交替块中的数据进行 XOR 以生成加密文件。但是这种技术也使得猜测密钥流和恢复主密钥成为可能，从而可以在没有攻击者私钥的情况下解码加密文件。研究人员表示，他们能够利用该漏洞设计一种方法来可靠地恢复加密期间使用的 95% 以上的密钥。

研究人员说：“恢复92%的主密钥成功解密约72%的文件，恢复96%的主密钥成功解密约82%的文件，恢复98%的主密钥成功解密约98%的文件。”

本文来自河南等级保护测评，如有侵权联系删除

上一条：法院：企业利用软件监控员工电脑属于自我管理行为，不侵犯员工隐私权
下一条：勒索凶猛！国际货运巨头紧急关闭全球业务系统