Rhysida sử dụng trình tạo số ngẫu nhiên (Cryptographically Secure Pseudo Random Number Generator - CSPRNG) giúp tạo khóa riêng duy nhất trong mọi cuộc tấn công. CSPRNG được sử dụng để tạo ra chuỗi các số ngẫu nhiên có tính chất ngẫu nhiên cao và không thể dự đoán được. Các CSPRNG thường được xây dựng bằng cách kết hợp các thuật toán số học và các giải thuật trong một quá trình phức tạp, sử dụng các giá trị ban đầu được gọi là "seed" (hạt giống). Seed có thể là một số ngẫu nhiên thực sự hoặc được tạo từ một nguồn ngẫu nhiên như thời gian hệ thống hoặc dữ liệu môi trường.
CSPRNG sử dụng thuật toán ChaCha20 - một thuật toán mã hóa dòng (stream cipher) được cung cấp bởi thư viện LibTomCrypt. ChaCha20 sử dụng một khóa dài 256 bit và một Initialization Vector (IV) dài 64 bit để mã hóa dữ liệu. Sử dụng khóa mã và IV độc lập giúp ngăn chặn việc tái sử dụng cặp khóa và IV. Ransomware Rhysida cập nhật trạng thái nội bộ của mình mỗi lần bằng cách kết hợp với dữ liệu entropy cụ thể trong quá trình sử dụng CSPRNG. Dữ liệu entropy là một số ngẫu nhiên có độ dài 40 byte được tạo ra bởi hàm rand() trong thư viện chuẩn C. Hạt giống ban đầu (initial seed) của hàm rand() được thiết lập dựa trên thời gian thực khi ransomware Rhysida đang chạy. Quá trình khởi tạo của CSPRNG kết thúc nếu số ngẫu nhiên được tạo thành công.
Hình 1. Quá trình mã hóa không liên tục của Rhysida
Việc Rhysida sử dụng mã hóa không liên tục, một hình thức chỉ mã hóa một phần của tệp tin trong khi các phần còn lại ở dạng bản rõ, điều này rất quan trọng trong việc định hình phương pháp giải mã. Nếu kích thước tệp tin (fileSize) nhỏ hơn 1 MiB, toàn bộ dữ liệu sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 1 MiB đến dưới 2 MiB, 1 MiB đầu tiên sẽ được mã hóa. Trong trường hợp fileSize nằm trong khoảng từ 2 MiB đến dưới 3 MiB, dữ liệu sẽ được chia thành hai phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 3 MiB đến dưới 4 MiB, dữ liệu sẽ được chia thành ba phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize là 4 MiB hoặc lớn hơn, dữ liệu sẽ được chia thành bốn phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa.
Bằng cách khai thác trong cơ chế mã hóa của ransomware Rhysida, cụ thể là từ trình tạo số ngẫu nhiên CSPRNG, các nhà nghiên cứu tại KISA có thể khôi phục trạng thái bên trong của CSPRNG trong cuộc tấn công và sử dụng nó để tạo khóa hợp lệ nhằm đảo ngược quá trình mã hóa dữ liệu.
Nghiên cứu cho thấy số ngẫu nhiên được tạo ra bởi CSPRNG dựa trên thời gian thực thi của ransomware Rhysida. Giá trị thời gian được sử dụng làm hạt giống, với không gian dữ liệu 32- bit là khả thi về mặt tính toán. Rhysida sử dụng CSPRNG để tạo khóa mã hóa riêng và vectơ khởi tạo IV nhưng thiếu các nguồn dữ liệu entropy cao khác để đảm bảo rằng giá trị hạt giống là không thể đoán trước được, khiến giá trị này có thể tìm kiếm và phán đoán bằng cách xem xét nhật ký hoặc dữ liệu khác cho biết thời gian lây nhiễm.
Hình 2. Quy trình phán đoán hạt giống phù hợp
Dựa trên cơ sở này, nhóm tác giả đã phát triển một phương pháp tái tạo trạng thái CSPRNG một cách có hệ thống bằng cách thử các giá trị hạt giống khác nhau trong phạm vi dự kiến. Sau khi tìm thấy giá trị chính xác (xác thực rằng nó có thể giải mã dữ liệu), tất cả các số ngẫu nhiên tiếp theo được ransomware sử dụng để mã hóa tệp có thể dễ dàng dự đoán để có thể khôi phục tất cả dữ liệu bị khóa mà không cần khóa riêng thực tế.
Việc giải mã chính xác của dữ liệu đã được mã hóa phụ thuộc vào khóa mã hóa được sử dụng vào thời điểm mã hóa. Do đó, nếu khóa mã hóa chính xác được tái tạo, một hoặc nhiều tệp sẽ được giải mã đúng. Bằng cách tạo ra các khóa mã hóa theo cách lặp lại với các hạt giống khác nhau và xác định một tệp được giải mã đúng sử dụng khóa, khi đó có thể kết luận rằng đã tìm thấy hạt giống ban đầu.
Quá trình giải mã hoạt động bằng cách tạo lại chính xác khóa mã hóa và vectơ ban đầu IV được sử dụng trong quá trình mã hóa ban đầu, sau đó áp dụng quy trình mã hóa đảo ngược (CTR) cho các phần được mã hóa của tệp. Dữ liệu được mã hóa trong chế độ CTR có thể được giải mã bằng cách thực hiện mã hóa thêm một lần nữa, hiệu quả tạo thành một quy trình giải mã. Phương pháp này đảo ngược mã hóa một cách hiệu quả, khôi phục bản rõ gốc mà không cần khóa riêng của kẻ tấn công, khai thác thuộc tính đối xứng của hàm CTR trong đó chức năng mã hóa và giải mã giống hệt nhau. Hình 3 thể hiện kết quả giải mã cho các tệp đã được mã hóa bởi ransomware Rhysida.
Hình 3. Kết quả giải mã thành công tập tin hình ảnh
Một công cụ giải mã tự động dành cho đã có sẵn trên trang web của KISA kèm theo hướng dẫn sử dụng bằng tiếng Hàn và tiếng Anh, cung cấp giải pháp giúp giảm thiểu thiệt hại do ransomware Rhysida gây ra. Tuy nhiên, công cụ giải mã này chỉ hoạt động đối với các tệp được mã hóa bằng bộ mã hóa Rhysida trên Windows và không thể giải mã các tệp được mã hóa trên VMware ESXi hoặc thông qua bộ mã hóa dựa trên PowerShell của nó.
Bài báo cung cấp thông tin về lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, đồng thời giới thiệu công cụ để khôi phục các tệp tin bị ảnh hưởng trên hệ điều hành Windows. ransomware Rhysida vẫn đang trong quá trình phát triển với những nguy cơ khó lường, vì vậy những nghiên cứu tiếp theo về ransomware nói chung và Rhysida nói riêng là hết sức cần thiết.
TÀI LIỆU THAM KHẢO [1]. Kim, G., Kang, S., Baek, S., Kim, K., & Kim, J. (2024). A Method for Decrypting Data Infected with Rhysida Ransomware. arXiv preprint arXiv:2402.06440. [2]. KISA, 2023. Rhysida ransomware recovery tool. . [3]. . [4]. . [5]. . [6]. . |
Tô Hồng Nhung, Trương Đình Dũng, Trần Văn Khanh (Trường Cao đẳng Kỹ thuật thông tin, Binh chủng Thông tin - Liên lạc)
11:00 | 23/06/2024
10:00 | 14/08/2024
21:00 | 29/08/2024
10:00 | 20/08/2024
09:00 | 03/07/2024
16:00 | 03/06/2024
16:00 | 19/08/2024
Hòa chung khí thế tưng bừng của cả nước kỷ niệm 79 năm Cách mạng Tháng Tám thành công và Quốc khánh nước Cộng hòa xã hội chủ nghĩa Việt Nam, sáng 19/8, tại Hà Nội, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ) tổ chức Lễ Kỷ niệm 20 năm Ngày truyền thống (19/8/2004 - 19/8/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
09:00 | 12/07/2024
Trước nhu cầu về bảo mật an toàn thông tin trong hệ thống các cơ quan nhà nước, các tổ chức, doanh nghiệp và cá nhân ngày càng gia tăng, hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự cũng tăng lên nhanh chóng với quy mô rộng trên phạm vi cả nước. Điều này đặt ra yêu cầu cấp thiết về sự thay đổi của hành lang pháp lý phải phù hợp với bối cảnh thực tế.
09:00 | 08/03/2024
Chiều 07/3, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức Hội thảo xây dựng tiêu chuẩn Việt Nam (TCVN) cho thuật toán mã khối ViEncrypt trong lĩnh vực mật mã dân sự. Đồng chí Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ chủ trì Hội thảo. Tham dự Hội thảo còn có đại diện lãnh đạo các hệ Cơ yếu, các cơ quan, đơn vị thuộc Ban Cơ yếu Chính phủ, các chuyên gia, nguyên cán bộ cấp cao của Viện Khoa học Công nghệ mật mã, Cục Chứng thực số và Bảo mật thông tin..., Ban Cơ yếu Chính phủ.
16:00 | 21/07/2023
Ngày 20/7, tại Thành phố Hồ Chí Minh, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị tập huấn về mật mã dân sự năm 2023 và triển khai Nghị định số 32/2023/NĐ-CP ngày 09/6/2023 của Chính phủ.