研究人员利用 Hive 勒索软件使用的加密算法中的安全缺陷成功提取了主密钥。

在众多类型的恶意代码中，勒索软件是最大且最主要的安全威胁之一。 勒索软件可以加密用户数据并要求赎金以换取解密密钥。 如果没有解密密钥，加密数据很难恢复，因此很多企业在遭受勒索软件攻击时都不同程度地遭受巨大伤害，比如支付高额赎金或者丢失大量非常重要的数据。

Hive 勒索软件

与其他网络犯罪组织类似，Hive 运营着一个勒索软件即服务 (RaaS) 项目，使用不同的机制入侵商业网络、窃取数据、加密网络中的数据，并向用户勒索赎金以换取解密软件的密钥， ETC。 。 2021 年 6 月，Hive 勒索软件入侵了一家名为 Altus Group 的公司，攻击手段包括利用易受攻击的 RDP 服务器、入侵 VPN 凭证电子邮件以及包含恶意附件的网络钓鱼电子邮件。

区块链分析公司Chainaanalysis的数据显示软件加密算法，截至2021年10月16日，Hive RaaS项目的受害者已超过355家公司。 美国FBI还发布了一份报告，分析了Hive勒索软件的原理，如何备份、绕过杀毒软件、复制文件来实现加密。

Hive勒索病毒加密流程如下：

利用加密算法漏洞提取Hive勒索软件Master Key

最近软件加密算法，韩国研究人员发现Hive勒索软件用于生成和存储主密钥的加密机制存在安全漏洞。 勒索软件使用从主密钥派生的 2 个密钥流来加密选定的文件部分而不是所有文件内容。

在每个文件加密过程中，需要来自主密钥的两个密钥流。 这 2 个密钥流是通过从主密钥中选择一个随机偏移量并从所选偏移量中提取 0x100000 字节 (1MiB) 和 0x400 字节 (1KiB) 的内容来生成的。 Persona的密钥流是通过对两个密钥流进行异或得到的，然后与所选案例中的数据进行异或生成加密文件。

研究人员发现，可以通过猜测密钥流的形式来恢复主密钥，然后在没有 Hive 勒索软件操作者私钥的情况下解密加密文件。

经过测试，研究人员发现，在没有攻击者的RSA私钥的情况下，95%的主密钥都可以被恢复，并且可以解密真正的加密数据。 这也是首例成功解密Hive勒索病毒的案例。

完整论文请参见：