🔐 Архитектура Шифровальщика. Как хакеры шифруют огромный объем данных за считаные минуты?
🖖🏻 Приветствую тебя user_name.
• Когда речь идет о шифровальщиках, первое, что ты должен различать, - это тип используемого шифрования. Есть два основных метода, которые используются большинством вымогателей. Сегодня мы поговорим об этих методах и одновременно с этим, ответим на интересный вопрос "Как хакеры шифруют огромный объем данных за считаные минуты?". Тема достаточно необычная для нашего канала, но весьма интересная, погнали...
Первое, на что хотелось бы обратить внимание, это методы шифрования:
• Симметричное шифрование: допустим у тебя есть один ключ, который ты используешь для зашифровки и расшифровки данных. Обе этих операции выполняются на основе единого ключа. Человек, получивший ключ, на котором ты зашифровал архив, сможет получить его содержимое. Подробнее тут.
• Асимметричное шифрование: метод подразумевает использование двух ключей вместо одного. Подробнее тут.
• Переходим к Ransomware. Payload Ransomware доставляется разными способами (#фишинг, #СИ, уязвимое ПО и т.д.) после чего, запускается на компьютере. Все файлы жертвы становятся зашифрованными. Появляется окно с формой оплаты и требованием выкупа в обмен на расшифровку файлов.
• Прочитав вступление, ты мог предположить, что можно задействовать симметричное шифрование. Но это неправильно, поскольку любой Ransomware избегает такого подхода по одной причине: когда шифруются файлы, ключ, используемый для данной процедуры, находится на тачке жертвы. Этот ключ, при симметричном шифровании, можно использовать и для дешифровки исходных файлов. Это означает, что жертва может восстановить его, а затем использовать для расшифровки файлов. Когда используется асимметричное шифрование, для расшифровки и зашифровки используются разные ключи, поэтому наличие ключа шифрования на ПК жертвы не будет критичным, поскольку ключ расшифровки будет находиться в безопасности.
• Вопрос: нам необходимо выбрать асимметричное шифрование? Мы можем сгенерировать пару, закодировать общедоступный ключ в коде и зашифровать с его помощью абсолютно все? (нет)...
Асимметричное шифрование на несколько порядков медленнее, чем симметричное. Когда ты шифруешь жесткий диск жертвы, тебе нужно реализовать такой алгоритм, чтобы зашифровать все как можно быстрее.
• Соответственно, мы можем использовать гибридный подход. Суть в том, что при генерации пэйлоада, будет создан набор открытых/закрытых ключей. Симметричный ключ будет храниться в пэйлоаде, и всякий раз, когда будет происходить заражение, пэйлоад будет использовать его для осуществления симметричного шифрования. После шифрования основной информации, будет зашифрован и этот ключ. Этот зашифрованный симметричный ключ будет расположен на ПК и мы попросим жертву предоставить его в записке о выкупе.
• Теперь переходим к вопросу "Как хакеры шифруют огромный объем данных за считаные минуты?". На самом деле, не нужно шифровать весь файл, чтобы сделать его непригодным для использования. В зависимости от его формата, шифрование заголовков и большей части начальных байтов достаточно, чтобы сделать файл не читаемым. Было бы идеально изменить конец файла.
• Преимущество данного подхода в том, что «шифрование части файла» позволяет модифицировать исходный файл, не создавая зашифрованную копию предыдущего, удаляя исходный. Это полезно, когда у нас имелось бы разрешения на запись в существующие файлы, но отсутствовало бы на создание нового. Это позволяет быстро обрабатывать огромные файлы (напр., БД MySQL на 500 ГБ).
Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #ransomware. ='_blank' rel='noreferrer nofollow' href='https://infosecwriteups.com/architecture-of-a-ransomware-1-2-1b9fee757fcb'>Источник.
