Bir siber güvenlik araştırmacısı, Akira fidye yazılımının Linux/ESXI varyantı tarafından kullanılan şifrelemeyi başarılı bir şekilde kırdı ve fidye talebini ödemeden veri kurtarmayı mümkün kıldı.
Atılım, fidye yazılımlarının şifreleme metodolojisindeki kritik bir zayıflıktan yararlanır. Araştırmacıya göre, kötü amaçlı yazılım, mevcut zamanı, şifreleme işlemi için bir tohum olarak nanosaniye olarak kullanır ve teorik olarak kaba kuvvet saldırılarına karşı savunmasız hale getirir.
Araştırmacı Yohanes Nugroho’ya göre, “İlk analizimden, fidye yazılımının nanosaniyelerde mevcut zamanı tohum olarak kullandığını gözlemledim” dedi.
“İlk düşüncem şuydu: ‘Bu, zaman damgalarına bakarak bunu kolayca zorla zorlamalı.’ Ancak, önemli ölçüde daha karmaşık olduğu ortaya çıktı. ”
Hash BCAE978C17BCDDC0BF6419A978E3471197801C36F73CFF2FC8CECBE3D88D1A tarafından tanımlanan Akira varyantı, her biri nanosecond katılımıyla dört farklı zamanestamp kullanan karmaşık bir şifreleme şeması kullanır.
Bu karmaşıklık başlangıçta şifre çözme sağladı, ancak kalıcılık ve hesaplama gücü nihayetinde hüküm sürdü.
Araştırmacı, GitHub’da tam kaynak kodu ve metodolojisini yayınladı ve 2023’ün sonlarından bu yana aktif olan bu fidye yazılımı suşundan etkilenen kuruluşlar için potansiyel bir yaşam çizgisi sağladı.
Tersine Mühendislik Fidye Yazılımı Kodu
Araştırmacı, fidye yazılımı kodunu tersine mühendislik etti ve zaman damgası değerleriyle tohumlanmış Yarrow256 rastgele sayı jeneratörünü kullandığını keşfetti. Temel güvenlik açığı Generate_random () işlevinde yatmaktadır:
Fidye yazılımı, hem KCIPHER2 hem de Chacha8 şifreleme algoritmaları için anahtar oluşturmak için bu işlevi kullanır. Her dosya, saldırganlar tarafından tanımlanan bir parametreye göre şifrelenmiş bir yüzde ile bloklara ayrılmıştır:
GPU-Accelerened Brute-Force Çözümü
Şifrelemeyi kırmak için araştırmacı, yüksek performanslı GPU’lardan yararlanan CUDA ile optimize edilmiş bir kaba kuvvet aracı geliştirdi.
Kapsamlı optimizasyondan sonra, sistem bir RTX 3090 GPU’da saniyede yaklaşık 1,5 milyar şifreleme denemesi gerçekleştirdi ve RTX 4090’lar 2,3 kat daha hızlı daha iyi performans sağladı.
Araştırmacı, “2 milyon ofseti test etmek, tek bir GPU’da yaklaşık 16 gün veya 16 GPU kullanarak sadece 1 gün gerektirecektir” dedi.
“4090 ile aynı işlem tek bir GPU’da yaklaşık 7 gün içinde veya 16 GPU ile 10 saatten fazla bir süre içinde tamamlanabilir.”
Kurtarma Süreci Gereksinimleri
Şifre çözme işlemi, belirli girişlerin etkili olmasını gerektirir:
- Şifrelemeden önce orijinal dosya zaman damgaları
- Şifreli dosyalardan bilinen düz metin/ciphertex çiftleri
- Yeterli GPU bilgi işlem gücü
- Shell.log Dosyaları Fidye Yazılımı Yürütüldüğünde
Tam kaynak kodu ve teknik ayrıntılar, bu belirli Akira varyantına kurban edilmiş olabilecek kuruluşlar için GitHub’da mevcuttur.
Fidye yazılımı geliştikçe, bu çalışma saldırganlar ve savunucular arasında devam eden silah yarışını vurgular.
Ödeme yapmadan her başarılı şifre çözme, fidye yazılımı iş modelini baltalayarak gelecekteki saldırıları potansiyel olarak caydırır.
Bu metodolojinin ve kaynak kodunun kamuya açıklanması, etkilenen kuruluşların fidye yazılımı için ödeme alternatifine sahip olmasını sağlar. Bununla birlikte, fidye yazılımı operatörleri, şifreleme uygulamalarında kaçınılmaz olarak bu güvenlik açığını yamadan önce hızlı hareket etmelidirler.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.