stringtranslate.com

Криптовирусология

Криптовирусология относится к изучению использования криптографии во вредоносных программах , таких как программы-вымогатели и асимметричные бэкдоры . [ нужна ссылка ] Традиционно криптография и ее приложения носят оборонительный характер и обеспечивают конфиденциальность, аутентификацию и безопасность пользователей. Криптовирусология использует новый подход к криптографии, показывая, что ее можно использовать и в наступательных целях. Его можно использовать для организации атак с целью вымогательства, которые приводят к потере доступа к информации, утрате конфиденциальности и утечке информации — задачам, которые обычно предотвращает криптография. [1]

Эта область возникла благодаря наблюдению, что криптография с открытым ключом может использоваться для нарушения симметрии между тем, что видит антивирусный аналитик в отношении вредоносного ПО, и тем, что видит злоумышленник. Антивирусный аналитик видит открытый ключ, содержащийся во вредоносном ПО, тогда как злоумышленник видит открытый ключ, содержащийся во вредоносном ПО, а также соответствующий закрытый ключ (вне вредоносного ПО), поскольку злоумышленник создал пару ключей для атаки. Открытый ключ позволяет вредоносному ПО выполнять на компьютере жертвы односторонние операции, которые может отменить только злоумышленник.

Обзор

Эта область охватывает скрытые атаки вредоносного ПО, в ходе которых злоумышленник безопасно крадет личную информацию, такую ​​как симметричные ключи, секретные ключи, состояние PRNG и данные жертвы. Примерами таких скрытых атак являются асимметричные бэкдоры . Асимметричный бэкдор — это бэкдор ( например , в криптосистеме ), который может быть использован только злоумышленником, даже после его обнаружения. Это контрастирует с традиционным бэкдором, который является симметричным, т. е . любой, кто его обнаружит, может им воспользоваться. Клептография , раздел криптовирусологии, — это исследование асимметричных бэкдоров в алгоритмах генерации ключей, алгоритмах цифровой подписи , обмене ключами, генераторах псевдослучайных чисел, алгоритмах шифрования и других криптографических алгоритмах. Генератор случайных битов NIST Dual EC DRBG имеет асимметричный бэкдор. Алгоритм EC-DRBG использует клептограмму дискретного логарифма из клептографии, что по определению делает EC-DRBG криптотрояном. Как и программы-вымогатели, криптотроян EC-DRBG содержит и использует открытый ключ злоумышленника для атаки на хост-систему. Криптограф Ари Джуэлс отметил, что АНБ эффективно организовало клептографическую атаку на пользователей алгоритма генерации псевдослучайных чисел Dual EC DRBG и что, хотя специалисты по безопасности и разработчики тестируют и реализуют клептографические атаки с 1996 года, «вам будет сложно найти один из них реально используется до сих пор». [2] Из-за общественного протеста по поводу этой криптовирусной атаки NIST исключил алгоритм EC-DRBG из стандарта NIST SP 800-90. [3]

Атаки по скрытой утечке информации, осуществляемые криптовирусами, криптотроянами и крипточервями, которые по определению содержат и используют открытый ключ злоумышленника, являются основной темой криптовирусологии. При «похищении отрицаемого пароля» криптовирус устанавливает криптотрояна, который асимметрично шифрует данные хоста и тайно передает их. Это делает его доступным для всех, никем не заметным (кроме злоумышленника), [ нужна цитация ] и доступным для расшифровки только злоумышленнику. Злоумышленник, уличенный в установке криптотрояна, утверждает, что является жертвой вируса. [ нужна цитата ] Злоумышленник, замеченный в получении скрытой асимметричной трансляции, является одним из тысяч, если не миллионов получателей, и не имеет никакой идентифицирующей информации. Криптовирусологическая атака обеспечивает «сквозное отрицание». Это скрытая асимметричная трансляция данных жертвы. Криптовирусология также включает в себя использование поиска частной информации (PIR), позволяющее криптовирусам искать и красть данные хоста, не раскрывая искомые данные, даже когда криптотроян находится под постоянным наблюдением. [4] По определению, такой криптовирус несет в своей собственной кодовой последовательности запрос злоумышленника и необходимую логику PIR для применения запроса к хост-системам.

История

Первая криптовирусологическая атака и обсуждение этой концепции были проведены Адамом Л. Янгом и Моти Юнгом и в то время назывались «криптовирусным вымогательством» и были представлены на конференции IEEE Security & Privacy в 1996 году. [1] [5] При этой атаке криптовирус, крипточервь или криптотроян содержит открытый ключ злоумышленника и гибридно шифрует файлы жертвы. Вредоносная программа предлагает пользователю отправить асимметричный зашифрованный текст злоумышленнику, который расшифрует его и вернет содержащийся в нем симметричный ключ дешифрования за определенную плату. Симметричный ключ нужен жертве для расшифровки зашифрованных файлов, если нет возможности восстановить исходные файлы (например, из резервных копий). В документе IEEE 1996 года предсказывалось, что злоумышленники, занимающиеся криптовирусным вымогательством, однажды потребуют электронные деньги , задолго до того, как Биткойн вообще существовал. Много лет спустя средства массовой информации переименовали криптовирусное вымогательство в программы-вымогатели . В 2016 году криптовирусные атаки на медицинских работников достигли уровня эпидемии, что побудило Министерство здравоохранения и социальных служб США выпустить информационный бюллетень о программах-вымогателях и HIPAA . [6] В информационном бюллетене говорится, что когда электронная защищенная медицинская информация зашифрована программой-вымогателем, происходит нарушение, и поэтому атака представляет собой раскрытие информации , которое не разрешено HIPAA, обоснованием чего является то, что злоумышленник взял под свой контроль информацию. Конфиденциальные данные, возможно, никогда не покинут организацию-жертву, но взлом мог позволить отправить данные незамеченными. Калифорния приняла закон, который определяет внедрение программ-вымогателей в компьютерную систему с целью вымогательства как нарушение закона. [7]

Примеры

Вирус тремора

Хотя в прошлом вирусы в дикой природе использовали криптографию, единственной целью такого использования криптографии было избежать обнаружения антивирусным программным обеспечением . Например, вирус тремора [8] использовал полиморфизм в качестве защитного метода, пытаясь избежать обнаружения антивирусным программным обеспечением. Хотя криптография действительно помогает в таких случаях продлить срок службы вируса, возможности криптографии не используются в полезной нагрузке. Вирус One-half был одним из первых известных вирусов, зашифровавших пораженные файлы.

Вирус Tro_Ransom.A

Примером вируса, который сообщает владельцу зараженной машины о необходимости заплатить выкуп, является вирус по прозвищу Tro_Ransom.A. [9] Этот вирус просит владельца зараженной машины отправить 10,99 долларов США на указанный счет через Western Union .
Virus.Win32.Gpcode.ag — классический криптовирус. [10] Этот вирус частично использует версию 660-битного RSA и шифрует файлы с множеством различных расширений. Он инструктирует владельца машины отправить электронное письмо с указанным почтовым идентификатором, если владельцу нужен расшифровщик. При обращении по электронной почте пользователю будет предложено заплатить определенную сумму в качестве выкупа в обмен на расшифровщик.

CAPI

Было продемонстрировано, что, используя всего 8 различных вызовов криптографического API Microsoft (CAPI), криптовирус может удовлетворить все свои потребности в шифровании. [11]

Другие варианты использования вредоносных программ с поддержкой шифрования

Помимо криптовирусного вымогательства, существуют и другие потенциальные возможности использования криптовирусов, [4] такие как перехват паролей, криптосчетчики, получение частной информации и безопасное взаимодействие между различными экземплярами распределенного криптовируса.

Рекомендации

  1. ^ аб Янг, А.; Моти Юнг (1996). «Криптовирусология: угрозы безопасности, основанные на вымогательстве, и меры противодействия». Материалы симпозиума IEEE 1996 г. по безопасности и конфиденциальности . стр. 129–140. doi : 10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2. S2CID  12179472. Архивировано из оригинала 8 октября 2022 года . Проверено 8 октября 2022 г.
  2. Ларри Гринмайер (18 сентября 2013 г.). «Усилия АНБ по обходу технологии шифрования нарушили стандарт криптографии США». Научный американец. Архивировано из оригинала 18 августа 2016 года . Проверено 4 августа 2016 г.
  3. ^ «NIST удаляет алгоритм криптографии из рекомендаций генератора случайных чисел» . Национальный институт стандартов и технологий . 21 апреля 2014 года. Архивировано из оригинала 29 августа 2016 года . Проверено 13 июля 2017 г.
  4. ^ аб А. Янг, М. Юнг (2004). Вредоносная криптография: разоблачение криптовирусологии . Уайли. ISBN 0-7645-4975-8.
  5. ^ Корсаков, Алексей (2014). Криптовирусология и вредоносное программное обеспечение (PDF) (Магистерская диссертация). Университет Восточной Финляндии , факультет информатики.
  6. ^ «ТЕХНИЧЕСКИЙ БЮЛЛЕТЕНЬ: Программы-вымогатели и HIPAA» (PDF) . ХХС . Архивировано (PDF) из оригинала 13 апреля 2018 г. Проверено 22 июля 2016 г.
  7. ^ SB-1137, вносящий поправки в статью 523 Уголовного кодекса.
  8. ^ «Описание тремора | F-Secure Labs» . www.f-secure.com . Архивировано из оригинала 24 июня 2021 года . Проверено 2 марта 2021 г.
  9. ^ «Лаборатории безопасности Sophos: Предотвращение вредоносных программ в реальном времени» . Архивировано из оригинала 10 мая 2008 года . Проверено 23 мая 2008 г.
  10. ^ «Список безопасности». Securelist.com . Архивировано из оригинала 7 апреля 2015 года . Проверено 2 марта 2021 г.
  11. ^ Янг, Адам Л. (2006). «Криптовирусное вымогательство с использованием Crypto API Microsoft». Международный журнал информационной безопасности . 5 (2): 67–76. дои : 10.1007/s10207-006-0082-7. S2CID  12990192.

Внешние ссылки

Поищите криптовирусологию  или криптовирус в Викисловаре, бесплатном словаре.