hadicanim
Aktif Üye
Rhysida fidye yazılımı çetesi, diğer şeylerin yanı sıra, Britanya Kütüphanesi'ne ve Kral Edward VII Hastanesi gibi hastanelere yaptığı saldırılarla tanındı. Ancak siber suçlular kendilerini göstermekten hoşlandıkları elit bilgisayar korsanları değiller. Güney Koreli araştırmacılar şifrelemenin uygulanmasında acemice bir hata buldular. Buna dayanarak şifrelenmiş dosyaları kurtarabilecek bir şifre çözme aracı oluşturmayı başardılar.
Reklamcılık
Şifreleme bugünlerde artık kırılmıyor; Rhysida'nın da kullandığı AES ve RSA gibi temel yöntemler bunun için çok iyi test edilmiştir. Bunun yerine kullanılan anahtarlar, örneğin ortadaki adam saldırıları veya kullanılan yazılımdaki hatalar yoluyla elde ediliyor. Koreli güvenlik araştırmacıları bunlardan birini Rhysida fidye yazılımında buldu. Bu, gerçek anlamda rastgele anahtarlar kullanmaz, ancak geçerli sistem saatiyle başlattığı sözde rastgele sayı üretecine (PRNG) dayanır.
Yeterli tesadüf yok
Böyle bir sözde rastgele sayı üreteci, kendi başına rastgele görünen sayılar sunar. Ancak aynı başlatma değerini iki kez kullanırsanız, tam olarak aynı sayı dizisini iki kez elde edersiniz. Araştırmacılar, dosya sisteminde depolanan şifrelenmiş dosyanın oluşturulma süresini kullanarak, şifreleme işleminin başladığı sistem zamanını kabaca tahmin edebildiler ve ardından basit deneme yanılma yoluyla doğru başlatma değerini bulabildiler. Bundan, orijinal verileri geri yüklemek için kullanılabilecek, kullanılan AES anahtarını yeniden oluşturdular.
Rhysida fidye yazılımının şifreleme süreci
(Resim: Kim ve diğerleri, arxiv aracılığıyla)
Elbette bu özet biraz basitleştirilmiş; Araştırmacılar, kullanılan CSPRNG, RSA 4096-bit anahtar ve aralıklı, simetrik şifreleme için kullanılan CTR modundaki AES-256 şifresi arasındaki tam etkileşimi, Rhysida Ransomware ile Etkilenen Verilerin Şifresini Çözme Yöntemi adlı makalelerinde belgeliyorlar. Etkilenenler için daha da önemli olan ise, bu temelde geliştirilen ve şifrelenmiş verilerin tamamen geri yüklenebildiği şifre çözme aracıdır. Kore İnternet ve Güvenlik Ajansı'nın (KISA) resmi sayfalarında barındırılmaktadır.
Daha fazla arka plan
Bağlam açısından, kriptografik anahtarlar oluşturmak için sözde rastgele sayı üretecinin kullanılması oldukça yaygındır çünkü bilgisayar gibi deterministik bir sistemde genellikle yeterli sayıda gerçekten rastgele sayı yoktur. PRNG'yi daha sonra yeniden oluşturulamayacak gerçekten rastgele bir değerle başlattığınızdan emin olursanız, bu mutlaka bir sorun teşkil etmez. Çoğu sistem bunun için özel işlevler sağlar; Bunun yerine saniye cinsinden mevcut sistem zamanı gibi rastgele görünen bir sayı kullanmak, yeni başlayanların yaygın bir hatasıdır.
Sosyal medya platformu X'te yapılan bir paylaşıma göre, bu çaylak hatasını ilk fark eden Koreliler de olmadı. Buna göre, birkaç araştırmacı zaten benzer şifre çözme araçları geliştirdi ve aylardır kurbanların verilerini kurtarmasına yardımcı oluyor. Bu arada: Fidye yazılımı çetelerinin yöntemleri hakkında daha fazla bilgi edinmek ve onların saldırılarına karşı kendinizi silahlandırmak istiyorsanız, 21 ve 22 Şubat'taki hızlandırılmış fidye yazılımı kursumuzu öneriyoruz.
(Evet)
Haberin Sonu
Reklamcılık
Şifreleme bugünlerde artık kırılmıyor; Rhysida'nın da kullandığı AES ve RSA gibi temel yöntemler bunun için çok iyi test edilmiştir. Bunun yerine kullanılan anahtarlar, örneğin ortadaki adam saldırıları veya kullanılan yazılımdaki hatalar yoluyla elde ediliyor. Koreli güvenlik araştırmacıları bunlardan birini Rhysida fidye yazılımında buldu. Bu, gerçek anlamda rastgele anahtarlar kullanmaz, ancak geçerli sistem saatiyle başlattığı sözde rastgele sayı üretecine (PRNG) dayanır.
Yeterli tesadüf yok
Böyle bir sözde rastgele sayı üreteci, kendi başına rastgele görünen sayılar sunar. Ancak aynı başlatma değerini iki kez kullanırsanız, tam olarak aynı sayı dizisini iki kez elde edersiniz. Araştırmacılar, dosya sisteminde depolanan şifrelenmiş dosyanın oluşturulma süresini kullanarak, şifreleme işleminin başladığı sistem zamanını kabaca tahmin edebildiler ve ardından basit deneme yanılma yoluyla doğru başlatma değerini bulabildiler. Bundan, orijinal verileri geri yüklemek için kullanılabilecek, kullanılan AES anahtarını yeniden oluşturdular.
Rhysida fidye yazılımının şifreleme süreci
(Resim: Kim ve diğerleri, arxiv aracılığıyla)
Elbette bu özet biraz basitleştirilmiş; Araştırmacılar, kullanılan CSPRNG, RSA 4096-bit anahtar ve aralıklı, simetrik şifreleme için kullanılan CTR modundaki AES-256 şifresi arasındaki tam etkileşimi, Rhysida Ransomware ile Etkilenen Verilerin Şifresini Çözme Yöntemi adlı makalelerinde belgeliyorlar. Etkilenenler için daha da önemli olan ise, bu temelde geliştirilen ve şifrelenmiş verilerin tamamen geri yüklenebildiği şifre çözme aracıdır. Kore İnternet ve Güvenlik Ajansı'nın (KISA) resmi sayfalarında barındırılmaktadır.
Daha fazla arka plan
Bağlam açısından, kriptografik anahtarlar oluşturmak için sözde rastgele sayı üretecinin kullanılması oldukça yaygındır çünkü bilgisayar gibi deterministik bir sistemde genellikle yeterli sayıda gerçekten rastgele sayı yoktur. PRNG'yi daha sonra yeniden oluşturulamayacak gerçekten rastgele bir değerle başlattığınızdan emin olursanız, bu mutlaka bir sorun teşkil etmez. Çoğu sistem bunun için özel işlevler sağlar; Bunun yerine saniye cinsinden mevcut sistem zamanı gibi rastgele görünen bir sayı kullanmak, yeni başlayanların yaygın bir hatasıdır.
Sosyal medya platformu X'te yapılan bir paylaşıma göre, bu çaylak hatasını ilk fark eden Koreliler de olmadı. Buna göre, birkaç araştırmacı zaten benzer şifre çözme araçları geliştirdi ve aylardır kurbanların verilerini kurtarmasına yardımcı oluyor. Bu arada: Fidye yazılımı çetelerinin yöntemleri hakkında daha fazla bilgi edinmek ve onların saldırılarına karşı kendinizi silahlandırmak istiyorsanız, 21 ve 22 Şubat'taki hızlandırılmış fidye yazılımı kursumuzu öneriyoruz.
(Evet)
Haberin Sonu