Nghiên cứu khai thác lỗ hổng trong cơ chế mã hóa ransomware Rhysida

13:00 | 30/07/2024 | MẬT MÃ DÂN SỰ

Ransomware là một loại phần mềm độc hại được thiết kế để tấn công máy tính hoặc hệ thống mạng bằng cách mã hóa dữ liệu quan trọng của người dùng và yêu cầu một khoản tiền chuộc để cung cấp khóa giải mã. Các cuộc tấn công bằng ransomware ngày càng tinh vi và có khả năng gia tăng trong thời gian tới với một trong những lo ngại từ ransomware Rhysida. Nghiên cứu cơ chế mã hóa của Rhysida là giải pháp hiệu quả để hạn chế nguy cơ từ loại ransomware này. Các nhà nghiên cứu tại Cơ quan An ninh và Internet Hàn Quốc (KISA) đã tìm thấy lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, cho phép đảo ngược quá trình mã hóa dữ liệu.

Nghiên cứu khai thác lỗ hổng trong cơ chế mã hóa ransomware Rhysida

CƠ CHẾ MÃ HÓA CỦA RANSOMWARE RHYSIDA

Rhysida sử dụng trình tạo số ngẫu nhiên (Cryptographically Secure Pseudo Random Number Generator - CSPRNG) giúp tạo khóa riêng duy nhất trong mọi cuộc tấn công. CSPRNG được sử dụng để tạo ra chuỗi các số ngẫu nhiên có tính chất ngẫu nhiên cao và không thể dự đoán được. Các CSPRNG thường được xây dựng bằng cách kết hợp các thuật toán số học và các giải thuật trong một quá trình phức tạp, sử dụng các giá trị ban đầu được gọi là "seed" (hạt giống). Seed có thể là một số ngẫu nhiên thực sự hoặc được tạo từ một nguồn ngẫu nhiên như thời gian hệ thống hoặc dữ liệu môi trường.

CSPRNG sử dụng thuật toán ChaCha20 - một thuật toán mã hóa dòng (stream cipher) được cung cấp bởi thư viện LibTomCrypt. ChaCha20 sử dụng một khóa dài 256 bit và một Initialization Vector (IV) dài 64 bit để mã hóa dữ liệu. Sử dụng khóa mã và IV độc lập giúp ngăn chặn việc tái sử dụng cặp khóa và IV. Ransomware Rhysida cập nhật trạng thái nội bộ của mình mỗi lần bằng cách kết hợp với dữ liệu entropy cụ thể trong quá trình sử dụng CSPRNG. Dữ liệu entropy là một số ngẫu nhiên có độ dài 40 byte được tạo ra bởi hàm rand() trong thư viện chuẩn C. Hạt giống ban đầu (initial seed) của hàm rand() được thiết lập dựa trên thời gian thực khi ransomware Rhysida đang chạy. Quá trình khởi tạo của CSPRNG kết thúc nếu số ngẫu nhiên được tạo thành công.

Hình 1. Quá trình mã hóa không liên tục của Rhysida

Việc Rhysida sử dụng mã hóa không liên tục, một hình thức chỉ mã hóa một phần của tệp tin trong khi các phần còn lại ở dạng bản rõ, điều này rất quan trọng trong việc định hình phương pháp giải mã. Nếu kích thước tệp tin (fileSize) nhỏ hơn 1 MiB, toàn bộ dữ liệu sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 1 MiB đến dưới 2 MiB, 1 MiB đầu tiên sẽ được mã hóa. Trong trường hợp fileSize nằm trong khoảng từ 2 MiB đến dưới 3 MiB, dữ liệu sẽ được chia thành hai phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 3 MiB đến dưới 4 MiB, dữ liệu sẽ được chia thành ba phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize là 4 MiB hoặc lớn hơn, dữ liệu sẽ được chia thành bốn phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa.

LỖ HỖNG TRONG CƠ CHẾ MÃ HÓA

Bằng cách khai thác trong cơ chế mã hóa của ransomware Rhysida, cụ thể là từ trình tạo số ngẫu nhiên CSPRNG, các nhà nghiên cứu tại KISA có thể khôi phục trạng thái bên trong của CSPRNG trong cuộc tấn công và sử dụng nó để tạo khóa hợp lệ nhằm đảo ngược quá trình mã hóa dữ liệu.

Nghiên cứu cho thấy số ngẫu nhiên được tạo ra bởi CSPRNG dựa trên thời gian thực thi của ransomware Rhysida. Giá trị thời gian được sử dụng làm hạt giống, với không gian dữ liệu 32- bit là khả thi về mặt tính toán. Rhysida sử dụng CSPRNG để tạo khóa mã hóa riêng và vectơ khởi tạo IV nhưng thiếu các nguồn dữ liệu entropy cao khác để đảm bảo rằng giá trị hạt giống là không thể đoán trước được, khiến giá trị này có thể tìm kiếm và phán đoán bằng cách xem xét nhật ký hoặc dữ liệu khác cho biết thời gian lây nhiễm.

Hình 2. Quy trình phán đoán hạt giống phù hợp

Dựa trên cơ sở này, nhóm tác giả đã phát triển một phương pháp tái tạo trạng thái CSPRNG một cách có hệ thống bằng cách thử các giá trị hạt giống khác nhau trong phạm vi dự kiến. Sau khi tìm thấy giá trị chính xác (xác thực rằng nó có thể giải mã dữ liệu), tất cả các số ngẫu nhiên tiếp theo được ransomware sử dụng để mã hóa tệp có thể dễ dàng dự đoán để có thể khôi phục tất cả dữ liệu bị khóa mà không cần khóa riêng thực tế.

Việc giải mã chính xác của dữ liệu đã được mã hóa phụ thuộc vào khóa mã hóa được sử dụng vào thời điểm mã hóa. Do đó, nếu khóa mã hóa chính xác được tái tạo, một hoặc nhiều tệp sẽ được giải mã đúng. Bằng cách tạo ra các khóa mã hóa theo cách lặp lại với các hạt giống khác nhau và xác định một tệp được giải mã đúng sử dụng khóa, khi đó có thể kết luận rằng đã tìm thấy hạt giống ban đầu.

Quá trình giải mã hoạt động bằng cách tạo lại chính xác khóa mã hóa và vectơ ban đầu IV được sử dụng trong quá trình mã hóa ban đầu, sau đó áp dụng quy trình mã hóa đảo ngược (CTR) cho các phần được mã hóa của tệp. Dữ liệu được mã hóa trong chế độ CTR có thể được giải mã bằng cách thực hiện mã hóa thêm một lần nữa, hiệu quả tạo thành một quy trình giải mã. Phương pháp này đảo ngược mã hóa một cách hiệu quả, khôi phục bản rõ gốc mà không cần khóa riêng của kẻ tấn công, khai thác thuộc tính đối xứng của hàm CTR trong đó chức năng mã hóa và giải mã giống hệt nhau. Hình 3 thể hiện kết quả giải mã cho các tệp đã được mã hóa bởi ransomware Rhysida.

Hình 3. Kết quả giải mã thành công tập tin hình ảnh

Một công cụ giải mã tự động dành cho đã có sẵn trên trang web của KISA kèm theo hướng dẫn sử dụng bằng tiếng Hàn và tiếng Anh, cung cấp giải pháp giúp giảm thiểu thiệt hại do ransomware Rhysida gây ra. Tuy nhiên, công cụ giải mã này chỉ hoạt động đối với các tệp được mã hóa bằng bộ mã hóa Rhysida trên Windows và không thể giải mã các tệp được mã hóa trên VMware ESXi hoặc thông qua bộ mã hóa dựa trên PowerShell của nó.

KẾT LUẬN

Bài báo cung cấp thông tin về lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, đồng thời giới thiệu công cụ để khôi phục các tệp tin bị ảnh hưởng trên hệ điều hành Windows. ransomware Rhysida vẫn đang trong quá trình phát triển với những nguy cơ khó lường, vì vậy những nghiên cứu tiếp theo về ransomware nói chung và Rhysida nói riêng là hết sức cần thiết.

TÀI LIỆU THAM KHẢO

[1]. Kim, G., Kang, S., Baek, S., Kim, K., & Kim, J. (2024). A Method for Decrypting Data Infected with Rhysida Ransomware. arXiv preprint arXiv:2402.06440.

[2]. KISA, 2023. Rhysida ransomware recovery tool. .

[3]. .

[4]. .

[5]. .

[6]. .

Tô Hồng Nhung, Trương Đình Dũng, Trần Văn Khanh (Trường Cao đẳng Kỹ thuật thông tin, Binh chủng Thông tin - Liên lạc)

‹ › ×

Tin liên quan

Cảnh giác với mã độc tống tiền trên điện thoại di động tại Việt Nam

10:00 | 14/08/2024

Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.

FBI triệt phá nhóm tin tặc mã độc tống tiền khét tiếng Dispossessor

21:00 | 29/08/2024

Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.

Ransomware: Phòng ngừa và giảm thiểu (Phần I)

10:00 | 04/10/2024

Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.

Ransomware - Một phương thức tấn công chưa bao giờ cũ

11:00 | 23/06/2024

Ngày 21/06, tại TP. Hồ Chí Minh, Chi hội An Toàn Thông tin phía Nam (VNISA phía Nam) phối hợp cùng Sở Thông tin và Truyền thông TP. Hồ Chí Minh tổ chức Hội thảo “Ransomware - Một phương thức tấn công chưa bao giờ cũ”. Hội thảo có sự tham gia của các chuyên gia hàng đầu trong lĩnh vực an ninh mạng đến từ Opswat, Trend Micro, Veeam, Aon và sự đồng hành của các doanh nghiệp công nghệ thông tin HPT, Vietnet.

Microsoft cảnh báo về lỗ hổng Office chưa được vá dẫn đến rò rỉ dữ liệu

10:00 | 20/08/2024

Microsoft đã tiết lộ một lỗ hổng zero-day chưa được vá trong Office, nếu khai thác thành công có thể dẫn đến việc lộ lọt thông tin nhạy cảm trái phép cho kẻ tấn công.

Mi2 - Trellix xây dựng nền tảng phòng vệ hiệu quả chống APT và Ransomware

09:00 | 03/07/2024

Sáng 27/6, tại Thành phố Hồ Chí Minh, sự kiện Cybersecurity Summit 2024 đã diễn ra thành công với sự tham gia đông đảo của hơn 250 chuyên gia an ninh mạng, lãnh đạo doanh nghiệp và tổ chức. Trong đó, Mi2 JSC vinh dự trở thành Nhà tài trợ Vàng, đồng hành cùng Trellix - hãng bảo mật hàng đầu thế giới mang đến giải pháp bảo mật tiên tiến và hiệu quả cho các doanh nghiệp Việt Nam chống lại APT và mã độc tống tiền đang lan rộng hiện nay.

Tội phạm mạng khai thác tính năng Quick Assist của Microsoft trong các cuộc tấn công ransomware

16:00 | 03/06/2024

Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.

Tin cùng chuyên mục

Tăng 26,6% hoạt động cấp phép mật mã dân sự trong quý III/2024

09:00 | 08/10/2024

Theo thông tin từ Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ, hoạt động cấp phép mật mã dân sự (MMDS) trong quý III/2024 tăng 26,6% so với cùng kỳ năm 2023.

Alibaba dự kiến sẽ xây dựng trung tâm dữ liệu tại Việt Nam

16:00 | 03/05/2024

Theo tờ Nikkei Asia, hiện tại Alibaba đang thuê máy chủ của nhà cung cấp dịch vụ viễn thông Viettel và VNPT. Từ năm 2022, Luật Bảo vệ dữ liệu cá nhân có hiệu lực, bắt buộc các công ty công nghệ nước ngoài phải lưu trữ dữ liệu ở trong nước. Nhằm đáp ứng quy định này, gã khổng lồ thương mại điện tử Trung Quốc Alibaba dự định sẽ xây dựng một trung tâm dữ liệu tại Việt Nam.

Giới thiệu tiêu chuẩn An toàn thông tin - Mã hóa có sử dụng xác thực

14:00 | 26/02/2024

Khi dữ liệu được gửi từ nơi này đến nơi khác thì cần phải bảo vệ dữ liệu trong quá trình đang được gửi. Tương tự như vậy, khi dữ liệu được lưu trữ trong một môi trường mà các bên không được phép cập thì cần thiết phải có các biện pháp bảo vệ dữ liệu đó. Bài báo sẽ giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19772:2020 về an toàn thông tin – mã hóa có sử dụng xác thực. Xác định các cách thức xử lý một chuỗi dữ liệu theo các mục tiêu an toàn bao gồm 5 cơ chế mã hóa có sử dụng xác thực.

Một thuật toán mới để sinh số nguyên tố lớn

11:00 | 29/07/2023

Ngày 24/5/2023, trang web của Viện Khoa học Weizmann (Weizmann Institute of Science) đăng tải bài báo “Polynomial - Time Pseudodeterministic Construction of Primes” [1] của Lijie Chen và các cộng sự. Đây là một thuật toán mới, tập hợp các ưu điểm của tính ngẫu nhiên và quy trình tất định để xây dựng các số nguyên tố lớn một cách đáng tin cậy. Dưới đây là nội dung bài viết đã đăng tại Quanta Magazine [1].