stringtranslate.com

Криптовирусология

Криптовирусология относится к изучению использования криптографии во вредоносных программах , таких как программы-вымогатели и асимметричные бэкдоры . [ требуется ссылка ] Традиционно криптография и ее приложения носят оборонительный характер и обеспечивают конфиденциальность, аутентификацию и безопасность для пользователей. Криптовирусология использует поворот в криптографии, показывая, что ее также можно использовать в наступательных целях. Ее можно использовать для организации вымогательских атак, которые приводят к потере доступа к информации, потере конфиденциальности и утечке информации, задачам, которые криптография обычно предотвращает. [1]

Эта область родилась с наблюдением, что криптография с открытым ключом может быть использована для нарушения симметрии между тем, что видит антивирусный аналитик относительно вредоносного ПО, и тем, что видит злоумышленник. Антивирусный аналитик видит открытый ключ, содержащийся во вредоносном ПО, тогда как злоумышленник видит открытый ключ, содержащийся во вредоносном ПО, а также соответствующий закрытый ключ (вне вредоносного ПО), поскольку злоумышленник создал пару ключей для атаки. Открытый ключ позволяет вредоносному ПО выполнять односторонние операции с лазейками на компьютере жертвы, которые может отменить только злоумышленник.

Обзор

Область охватывает скрытые атаки вредоносного ПО, в которых злоумышленник надежно крадет личную информацию, такую ​​как симметричные ключи, закрытые ключи, состояние PRNG и данные жертвы. Примерами таких скрытых атак являются асимметричные бэкдоры . Асимметричный бэкдор — это бэкдор ( например , в криптосистеме ), который может использовать только злоумышленник, даже после того, как он найден. Это контрастирует с традиционным бэкдором, который является симметричным, т. е . любой, кто его найдет, может его использовать. Клептография , подраздел криптовирусологии, изучает асимметричные бэкдоры в алгоритмах генерации ключей, алгоритмах цифровой подписи , обмене ключами, генераторах псевдослучайных чисел, алгоритмах шифрования и других криптографических алгоритмах. Генератор случайных битов NIST Dual EC DRBG имеет в себе асимметричный бэкдор. Алгоритм EC-DRBG использует дискретно-логарифмическую клептограмму из клептографии, что по определению делает EC-DRBG криптотрояном. Как и вирус-вымогатель, криптотроян EC-DRBG содержит и использует открытый ключ злоумышленника для атаки на хост-систему. Криптограф Ари Джулс указал, что АНБ эффективно организовало клептографическую атаку на пользователей алгоритма генерации псевдослучайных чисел Dual EC DRBG и что, хотя специалисты по безопасности и разработчики тестируют и реализуют клептографические атаки с 1996 года, «вам будет трудно найти хоть одну, которая бы реально использовалась до сих пор». [2] Из-за общественного возмущения по поводу этой криптовирусной атаки NIST отменил алгоритм EC-DRBG из стандарта NIST SP 800-90. [3]

Скрытые атаки утечки информации, осуществляемые криптовирусами, криптотроянами и крипточервями, которые по определению содержат и используют открытый ключ злоумышленника, являются основной темой в криптовирусологии. При «отрицаемом перехвате пароля» криптовирус устанавливает криптотроян, который асимметрично шифрует данные хоста и скрытно транслирует их. Это делает его доступным для всех, никем не заметным (кроме злоумышленника), [ нужна цитата ] и расшифровываемым только злоумышленником. Злоумышленник, пойманный за установкой криптотрояна, утверждает, что является жертвой вируса. [ нужна цитата ] Злоумышленник, замеченный за получением скрытой асимметричной трансляции, является одним из тысяч, если не миллионов получателей, и не демонстрирует никакой идентифицирующей информации. Атака криптовирусологии достигает «сквозного отрицания». Это скрытая асимметричная трансляция данных жертвы. Криптовирусология также охватывает использование поиска частной информации (PIR), чтобы позволить криптовирусам искать и красть данные хоста, не раскрывая искомые данные, даже если криптотроян находится под постоянным наблюдением. [4] По определению, такой криптовирус несет в своей собственной кодовой последовательности запрос злоумышленника и необходимую логику PIR для применения запроса к хостовым системам.

История

Первая атака криптовирусологии и обсуждение этой концепции были проведены Адамом Л. Янгом и Моти Юнгом , в то время назывались «криптовирусным вымогательством» и были представлены на конференции IEEE Security & Privacy в 1996 году. [1] [5] В этой атаке криптовирус, крипточервь или криптотроян содержат открытый ключ злоумышленника и гибридно шифруют файлы жертвы. Вредоносная программа предлагает пользователю отправить асимметричный шифртекст злоумышленнику, который расшифрует его и вернет симметричный ключ дешифрования, который он содержит, за определенную плату. Жертве нужен симметричный ключ для расшифровки зашифрованных файлов, если нет возможности восстановить исходные файлы (например, из резервных копий). В статье IEEE 1996 года предсказывалось, что злоумышленники, занимающиеся криптовирусным вымогательством, однажды потребуют электронные деньги , задолго до того, как появился Bitcoin . Много лет спустя СМИ переименовали криптовирусное вымогательство в программы-вымогатели . В 2016 году атаки криптовирусов на поставщиков медицинских услуг достигли эпидемического уровня, что побудило Министерство здравоохранения и социальных служб США выпустить информационный бюллетень о программах-вымогателях и HIPAA . [6] В информационном бюллетене говорится, что когда электронная защищенная медицинская информация шифруется программой-вымогателем, происходит нарушение, и поэтому атака представляет собой раскрытие , которое не допускается в соответствии с HIPAA, обоснованием чего является то, что злоумышленник захватил контроль над информацией. Конфиденциальные данные могут никогда не покинуть организацию-жертву, но взлом мог позволить отправить данные незамеченными. Калифорния приняла закон, который определяет внедрение программы-вымогателя в компьютерную систему с целью вымогательства как противозаконное. [7]

Примеры

вирус тремора

Хотя вирусы в дикой природе использовали криптографию в прошлом, единственной целью такого использования криптографии было избежать обнаружения антивирусным программным обеспечением . Например, вирус tremor [8] использовал полиморфизм в качестве защитного приема в попытке избежать обнаружения антивирусным программным обеспечением. Хотя криптография действительно помогает в таких случаях увеличить долговечность вируса, возможности криптографии не используются в полезной нагрузке. Вирус One-half был одним из первых вирусов, которые, как известно, шифровали пораженные файлы.

Вирус Tro_Ransom.A

Примером вируса, который информирует владельца зараженной машины о необходимости заплатить выкуп, является вирус под названием Tro_Ransom.A. [9] Этот вирус просит владельца зараженной машины отправить 10,99 долларов США на указанный счет через Western Union .
Virus.Win32.Gpcode.ag — классический криптовирус. [10] Этот вирус частично использует версию 660-битного RSA и шифрует файлы со многими различными расширениями. Он инструктирует владельца машины отправить по электронной почте указанный почтовый идентификатор, если владелец желает получить дешифратор. Если с ним связаться по электронной почте, пользователя попросят заплатить определенную сумму в качестве выкупа в обмен на дешифратор.

КАПИ

Было продемонстрировано, что используя всего 8 различных вызовов Microsoft Cryptographic API ( CAPI), криптовирус может удовлетворить все свои потребности в шифровании. [11]

Другие варианты использования вредоносного ПО с поддержкой криптографии

Помимо вымогательства криптовирусов, существуют и другие потенциальные применения криптовирусов [4] , такие как сомнительный перехват паролей, криптосчётчики, извлечение частной информации и защищённая связь между различными экземплярами распределённого криптовируса.

Смотрите также

Ссылки

  1. ^ ab Young, A.; Moti Yung (1996). "Криптовирусология: угрозы безопасности, основанные на вымогательстве, и контрмеры". Труды симпозиума IEEE 1996 года по безопасности и конфиденциальности . стр. 129–140. doi :10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2. S2CID  12179472. Архивировано из оригинала 8 октября 2022 г. . Получено 8 октября 2022 г. .
  2. Ларри Гринемайер (18 сентября 2013 г.). «Попытки АНБ обойти технологию шифрования нанесли ущерб стандарту криптографии США». Scientific American. Архивировано из оригинала 18 августа 2016 г. Получено 4 августа 2016 г.
  3. ^ "NIST удаляет алгоритм криптографии из рекомендаций генератора случайных чисел". Национальный институт стандартов и технологий . 21 апреля 2014 г. Архивировано из оригинала 29 августа 2016 г. Получено 13 июля 2017 г.
  4. ^ ab A. Young, M. Yung (2004). Вредоносная криптография: разоблачение криптовирусологии . Wiley. ISBN 0-7645-4975-8.
  5. ^ Корсаков, Алексей (2014). Криптовирусология и вредоносное программное обеспечение (PDF) (Магистерская диссертация). Университет Восточной Финляндии , кафедра компьютерных наук.
  6. ^ "ИНФОРМАЦИОННЫЙ ЛИСТОК: Программы-вымогатели и HIPAA" (PDF) . HHS . Архивировано (PDF) из оригинала 13 апреля 2018 г. . Получено 22 июля 2016 г. .
  7. ^ SB-1137, вносящий поправки в раздел 523 Уголовного кодекса.
  8. ^ "Tremor Description | F-Secure Labs". www.f-secure.com . Архивировано из оригинала 24 июня 2021 г. . Получено 2 марта 2021 г. .
  9. ^ "Sophos Security Labs: Real-Time Malware Threat Prevention". Архивировано из оригинала 10 мая 2008 г. Получено 23 мая 2008 г.
  10. ^ "Securelist". securelist.com . Архивировано из оригинала 7 апреля 2015 г. Получено 2 марта 2021 г.
  11. ^ Янг, Адам Л. (2006). «Криптовирусное вымогательство с использованием Microsoft Crypto API». Международный журнал информационной безопасности . 5 (2): 67–76. doi :10.1007/s10207-006-0082-7. S2CID  12990192.

Внешние ссылки

Найдите термины «криптовирусология»  и «криптовирус» в Викисловаре — бесплатном словаре.