Ransomware Rhysida sử dụng trình tạo số ngẫu nhiên (Cryptographically Secure Pseudo Random Number Generator - CSPRNG) giúp tạo khóa riêng duy nhất trong mọi cuộc tấn công. CSPRNG được sử dụng để tạo ra chuỗi các số ngẫu nhiên có tính chất ngẫu nhiên cao và không thể dự đoán được. Các CSPRNG thường được xây dựng bằng cách kết hợp các thuật toán số học và các giải thuật trong một quá trình phức tạp, sử dụng các giá trị ban đầu được gọi là "seed" (hạt giống). Seed có thể là một số ngẫu nhiên thực sự hoặc được tạo từ một nguồn ngẫu nhiên như thời gian hệ thống hoặc dữ liệu môi trường.
CSPRNG sử dụng thuật toán ChaCha20 - một thuật toán mã hóa dòng (stream cipher) được cung cấp bởi thư viện LibTomCrypt. ChaCha20 sử dụng một khóa dài 256 bit và một Initialization Vector (IV) dài 64 bit để mã hóa dữ liệu. Sử dụng khóa mã và IV độc lập giúp ngăn chặn việc tái sử dụng cặp khóa và IV. Ransomware Rhysida cập nhật trạng thái nội bộ của mình mỗi lần bằng cách kết hợp với dữ liệu entropy cụ thể trong quá trình sử dụng CSPRNG. Dữ liệu entropy là một số ngẫu nhiên có độ dài 40 byte được tạo ra bởi hàm rand() trong thư viện chuẩn C. Hạt giống ban đầu (initial seed) của hàm rand() được thiết lập dựa trên thời gian thực khi ransomware Rhysida đang chạy. Quá trình khởi tạo của CSPRNG kết thúc nếu số ngẫu nhiên được tạo thành công.
Hình 1. Quá trình mã hóa không liên tục của Rhysida
Việc Rhysida sử dụng mã hóa không liên tục, một hình thức chỉ mã hóa một phần của tệp tin trong khi các phần còn lại ở dạng bản rõ, điều này rất quan trọng trong việc định hình phương pháp giải mã. Nếu kích thước tệp tin (fileSize) nhỏ hơn 1 MiB, toàn bộ dữ liệu sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 1 MiB đến dưới 2 MiB, 1 MiB đầu tiên sẽ được mã hóa. Trong trường hợp fileSize nằm trong khoảng từ 2 MiB đến dưới 3 MiB, dữ liệu sẽ được chia thành hai phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize nằm trong khoảng từ 3 MiB đến dưới 4 MiB, dữ liệu sẽ được chia thành ba phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa. Đối với fileSize là 4 MiB hoặc lớn hơn, dữ liệu sẽ được chia thành bốn phần và 1 MiB đầu tiên của mỗi phần sẽ được mã hóa.
Bằng cách khai thác lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, cụ thể là từ trình tạo số ngẫu nhiên CSPRNG, các nhà nghiên cứu tại KISA có thể khôi phục trạng thái bên trong của CSPRNG trong cuộc tấn công và sử dụng nó để tạo khóa hợp lệ nhằm đảo ngược quá trình mã hóa dữ liệu.
Nghiên cứu cho thấy số ngẫu nhiên được tạo ra bởi CSPRNG dựa trên thời gian thực thi của ransomware Rhysida. Giá trị thời gian được sử dụng làm hạt giống, với không gian dữ liệu 32- bit là khả thi về mặt tính toán. Rhysida sử dụng CSPRNG để tạo khóa mã hóa riêng và vectơ khởi tạo IV nhưng thiếu các nguồn dữ liệu entropy cao khác để đảm bảo rằng giá trị hạt giống là không thể đoán trước được, khiến giá trị này có thể tìm kiếm và phán đoán bằng cách xem xét nhật ký hoặc dữ liệu khác cho biết thời gian lây nhiễm.
Hình 2. Quy trình phán đoán hạt giống phù hợp
Dựa trên cơ sở này, nhóm tác giả đã phát triển một phương pháp tái tạo trạng thái CSPRNG một cách có hệ thống bằng cách thử các giá trị hạt giống khác nhau trong phạm vi dự kiến. Sau khi tìm thấy giá trị chính xác (xác thực rằng nó có thể giải mã dữ liệu), tất cả các số ngẫu nhiên tiếp theo được ransomware sử dụng để mã hóa tệp có thể dễ dàng dự đoán để có thể khôi phục tất cả dữ liệu bị khóa mà không cần khóa riêng thực tế.
Việc giải mã chính xác của dữ liệu đã được mã hóa phụ thuộc vào khóa mã hóa được sử dụng vào thời điểm mã hóa. Do đó, nếu khóa mã hóa chính xác được tái tạo, một hoặc nhiều tệp sẽ được giải mã đúng. Bằng cách tạo ra các khóa mã hóa theo cách lặp lại với các hạt giống khác nhau và xác định một tệp được giải mã đúng sử dụng khóa, khi đó có thể kết luận rằng đã tìm thấy hạt giống ban đầu.
Quá trình giải mã hoạt động bằng cách tạo lại chính xác khóa mã hóa và vectơ ban đầu IV được sử dụng trong quá trình mã hóa ban đầu, sau đó áp dụng quy trình mã hóa đảo ngược (CTR) cho các phần được mã hóa của tệp. Dữ liệu được mã hóa trong chế độ CTR có thể được giải mã bằng cách thực hiện mã hóa thêm một lần nữa, hiệu quả tạo thành một quy trình giải mã. Phương pháp này đảo ngược mã hóa một cách hiệu quả, khôi phục bản rõ gốc mà không cần khóa riêng của kẻ tấn công, khai thác thuộc tính đối xứng của hàm CTR trong đó chức năng mã hóa và giải mã giống hệt nhau. Hình 3 thể hiện kết quả giải mã cho các tệp đã được mã hóa bởi ransomware Rhysida.
Hình 3. Kết quả giải mã thành công tập tin hình ảnh
Một công cụ giải mã tự động dành cho Windows đã có sẵn trên trang web của KISA kèm theo hướng dẫn sử dụng bằng tiếng Hàn và tiếng Anh, cung cấp giải pháp giúp giảm thiểu thiệt hại do ransomware Rhysida gây ra. Tuy nhiên, công cụ giải mã này chỉ hoạt động đối với các tệp được mã hóa bằng bộ mã hóa Rhysida trên Windows và không thể giải mã các tệp được mã hóa trên VMware ESXi hoặc thông qua bộ mã hóa dựa trên PowerShell của nó.
Bài báo cung cấp thông tin về lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, đồng thời giới thiệu công cụ để khôi phục các tệp tin bị ảnh hưởng trên hệ điều hành Windows. ransomware Rhysida vẫn đang trong quá trình phát triển với những nguy cơ khó lường, vì vậy những nghiên cứu tiếp theo về ransomware nói chung và Rhysida nói riêng là hết sức cần thiết.
TÀI LIỆU THAM KHẢO [1]. Kim, G., Kang, S., Baek, S., Kim, K., & Kim, J. (2024). A Method for Decrypting Data Infected with Rhysida Ransomware. arXiv preprint arXiv:2402.06440. [2]. KISA, 2023. Rhysida ransomware recovery tool. https://seed.kisa.or.kr/kisa/Board/166/detailView.do.Rhysida-Ransomware-Recovery-Tool. [4]. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a. [6]. https://www.trendmicro.com/vinfo/tr/security/news/ransomware-spotlight/ransomware-spotlight-rhysida. |
Tô Hồng Nhung, Trương Đình Dũng, Trần Văn Khanh (Trường Cao đẳng Kỹ thuật thông tin, Binh chủng Thông tin - Liên lạc)
10:00 | 04/10/2024
11:00 | 23/06/2024
10:00 | 14/08/2024
21:00 | 29/08/2024
09:00 | 03/07/2024
17:00 | 03/01/2025
10:00 | 20/08/2024
16:00 | 03/06/2024
08:00 | 02/01/2025
Ngày nay, bảo mật dữ liệu là một trong những vấn đề được quan tâm hàng đầu, các nhà nghiên cứu đang không ngừng khám phá những con đường độc đáo để bảo vệ thông tin nhạy cảm. Trong đó phải kể đến mật mã DNA, đây là một lĩnh vực tiên tiến khai thác các đặc tính độc đáo của phân tử DNA cho mục đích mã hóa và giải mã. DNA cung cấp một cách tiếp cận mới về bảo mật thông tin với mật độ lưu trữ thông tin đáng kinh ngạc và tuổi thọ tiềm năng. Mã hóa DNA tận dụng các đặc tính vốn có của axit deoxyribonucleic (DNA), phân tử mang thông tin di truyền trong sinh vật sống để bảo mật và bảo vệ dữ liệu. Bài viết sẽ trình bày về mật mã DNA và xu hướng phát triển của mật mã này trong tương lai.
09:00 | 12/07/2024
Trước nhu cầu về bảo mật an toàn thông tin trong hệ thống các cơ quan nhà nước, các tổ chức, doanh nghiệp và cá nhân ngày càng gia tăng, hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự cũng tăng lên nhanh chóng với quy mô rộng trên phạm vi cả nước. Điều này đặt ra yêu cầu cấp thiết về sự thay đổi của hành lang pháp lý phải phù hợp với bối cảnh thực tế.
14:00 | 25/03/2024
Bài báo giới thiệu một phương pháp dựa trên đặc tính hỗn loạn của ánh xạ 2D MCCM và 2D logistic để thiết kế hộp S (S-box) động phụ thuộc khóa. Đánh giá một số tính chất mật mã của một số hộp thế được tạo ra.
09:00 | 13/10/2023
Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn