1. 암호화 알고리즘의 결함을 이용한 Hive Ransomware Master Key
Reference: https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html
국민대 학계에서 Hive Ransomware의 분석을 통해 암호화 취약점을 이용하여 공격자의 개인키 없이 파일 암호화 키를 생성하기 위한 마스터 키를 복구하였다.
연구원들이 확인한 암호화 취약점은 마스터키에서 파생된 2개의 key stream을 사용하여 전체 콘텐츠와 반대로 랜섬웨어 변형자가 파일의 선택 부분만 암호화하며 마스터키가 생성되고 저장되는 메커니즘에 관한것이다.
연구원들이 확인한 암호화 취약점은 마스터키가 생성, 저장되는 메커니즘과 관련이 있으며, 랜섬웨어 변종은 마스터키에서 파생된 두개의 키스트림을 이용하여 파일의 일부만 암호화한다.
파일 암호화 프로세스를 위해서는 마스터키에서 파생되는 두개의 키스트림이 필요하다. 마스터키에서 두개의 임의 오프셋을 선택하고, 선택한 오프셋에서 각각 0x100000 , 0x400 byte를 추출하여 두개의 키스트림을 생성한다. 두개의 xor 연산으로 생성된 암호화 키스트림은 암호화 파일을 생성하기 위한 대체블록의 데이터와 xor 된다. 이 기법은 키스트림을 추측하고 마스터키를 복원하여 개인키 없이 파일의 복호화를 가능하게 한다.
위 결함을 통해 암호화 과정에서 사용된 키의 95% 이상을 안정적으로 복구할 수 있는 방법이 고안되었으며, 92% 복구된 마스터키는 72%의 파일 암호 해독 성공, 96% 복구된 마스터키는 약 82% 암호해독, 98% 복구된 마스터키는 약 98%의 파일 암호 해독에 성공했다고 한다.