駭客積極掌握加密軟體演算法安全性，視AD為入侵灘頭堡 - Security版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Security版 - 駭客積極掌握加密軟體演算法安全性，視AD為入侵灘頭堡

相关主题
● 有关LINUX KERNEL2.2.14的问题	● Re: [转载] 再此请教大虾: 用htpasswd 为网页加密时出现问题!!(in detail)
● 第一次与木马的亲密接触	● 关于Linux
● 勒索病毒全球只勒索到5万美元，转化率有点低	● 求救：IE 5.5如何加密？
● 勒索病毒卷土重来！这次影响变小，破坏力却更强	● 国货当自强！精品共享软件：加密宝
● 转载联合早报: 网络资料加密新方法	● [转载] 网络电话buddytalk疑问
● [转载] ORACLE 底下有什么好的加密包？	● 请问软件加密版权保护的方法有哪些呀
● 如何破解加密的PDF文档(打印功能被加密)?	● [转载] please help
● [转载] 再此请教大虾: 用htpasswd 为网页加密时出现问题!!(in detail)	● [转载] 250文件

相关话题的讨论汇总
话题: 軟體话题: ad话题: 駭客话题: 加密话题: 檔案

进入Security版参与讨论

(共1页)

A****9
发帖数: 1

https://ithome.com.tw/news/143460
如果勒索軟體想在企業內部網路的電腦「橫行無阻」，能否滲透AD目錄服務是關鍵，圖
中是透過網路釣魚的電子郵件夾帶的誘餌附加檔案，一旦有系統管理者開啟，接著就會
引入後門程式，伺機橫向移動，之後可設法接觸到AD密碼檔案。
圖片來源:
奧義智慧
在勒索軟體採用的技術上，駭客也關注加密程式的演化，目的就是為了可以快速回應資
安業者的偵測。除此之外，對於AD的滲透方式，也是駭客關注的重點
持續變化加密處理方式，關注演算法安全性以確保不被破解
以往勒索軟體採用高強度的密鑰，以加密受駭企業的檔案，但現在勒索軟體則改變加密
方式，會以低強度的密鑰加密企業檔案後，再用高強度密鑰（例如：RSA4096），去保
護以快速演算法、加密企業檔案的低強度密鑰（例如：ChaCha8或ChaCha20），「駭客
改變加密方式，就可以達到在短時間內，加密最多檔案的效果。」奧義智慧共同創辦人
叢培侃說，如果遇到大檔案，為了加密效率，不會把檔案全部加密，而是會選擇加密檔
頭、中間、後面一點點區塊的分段加密方式。
由於駭客進入受駭企業的電腦環境後，會啟動環境檢查，關閉資料復原和防毒的程式，
也會用特殊方式解除系統鎖定檔案（Restart Manager），並透過程式加殼、混淆方式
，增加勒索軟體靜態分析的難度，對駭客最便利的方式則是，會尋找本機掛載的網路磁
碟機，掃描SMB網路的其他主機。
勒索軟體為了躲避資安產品的偵測，會無所不用其極的發揮貓抓老鼠的創意。叢培侃表
示，他們觀察到，有勒索軟體會先強迫電腦重開機後，直接進入安全模式，因為一旦進
入微軟作業系統的安全模式後，許多安全防護系統都會被強制關閉，勒索軟體就會趁此
機會開始加密電腦檔案。
叢培侃也發現其他閃躲偵測的方式，像是，有駭客不惜網路頻寬，從外部寄送一臺虛擬
機器（VM）到受駭企業，勒索軟體躲在虛擬機器內規避偵測，因為企業要偵測虛擬機器
內的勒索軟體，相對比較費工且成功率低，所以，勒索軟體不需要變種，就可以藉此躲
避資安產品的偵查，然後，當企業開啟該虛擬機器後，勒索軟體就會在VM內，將掛載到
外面的磁碟機進行加密。他說，因為所有的防護措施在外部，根本偵測不到任何異常現
象。
值得注意的是，勒索軟體也會關注演算法的安全性，他指出，要確認隨機產生的函式是
否安全，若以微軟.NET為例，以往會使用簡單的New Random作為密鑰產生，但這種方式
是比較容易遭到駭客破解的；所以現在駭客都改用RNGCryptoServiceProvider函式，或
是簽章程式。
另外，也要判斷企業一旦支付贖金後，駭客是否真的可以解密。
叢培侃表示，早期勒索軟體Petya的受駭者代號（Victim ID），是經過駭客以公鑰（
Public key）加密Salsa20 key在 Base58的字串，駭客可透過私鑰解開，對企業用戶而
言，付贖金後可以獲得解密私鑰，資料安全獲得保障。
不幸的是，Petya在某一次的改版後，因為受駭者代號改成隨機產生，連加密的Salsa也
是隨機產生，因為受駭者代號和加密公鑰兩者沒有任何關聯，導致沒有被保存在受駭者
代碼victim ID內而丟失，這就造成檔案永無法解密。
AD是勒索軟體能否在內網快速擴散關鍵，駭客關注滲透方式
勒索軟體都透過取得AD伺服器的主控權，才有辦法快速在內部橫向移動，達到快速擴散
的效果，通常都會從駭客寄送釣魚郵件，然後企業用戶使用者點選釣魚郵件後，駭客得
以在企業內部安裝後門程式，再進行內部橫向移動。
因為AD伺服器是駭客的灘頭堡，駭客掌握AD伺服器後，就會直搗AD密碼檔案，舉例說明
：NTDS.dit是AD伺服器負責儲存雜湊（Hash）的檔案，微軟有個工具是Ntdsutil，剛好
可以去複製那個檔案建立快照（Snapshot）偷出來，這樣AD伺服器上很多密碼，就可以
被駭客「爆破」出來了，如此也導致許多AD伺服器的使用者帳密外洩。文⊙黃彥棻

(共1页)

进入Security版参与讨论

相关主题
● 哪种加密算法好一点?	● 转载联合早报: 网络资料加密新方法
● 重装系统后NTFS的加密文件不开怎么办??	● [转载] ORACLE 底下有什么好的加密包？
● [转载] [合集]这里有搞网络安全的么？ nbsp; dreamland	● 如何破解加密的PDF文档(打印功能被加密)?
● 用SimpPro来提高MSN Messenger即时通信的安全性(Wind	● [转载] 再此请教大虾: 用htpasswd 为网页加密时出现问题!!(in detail)
● 有关LINUX KERNEL2.2.14的问题	● Re: [转载] 再此请教大虾: 用htpasswd 为网页加密时出现问题!!(in detail)
● 第一次与木马的亲密接触	● 关于Linux
● 勒索病毒全球只勒索到5万美元，转化率有点低	● 求救：IE 5.5如何加密？
● 勒索病毒卷土重来！这次影响变小，破坏力却更强	● 国货当自强！精品共享软件：加密宝

相关话题的讨论汇总
话题: 軟體话题: ad话题: 駭客话题: 加密话题: 檔案

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天