從新型勒索軟體攻擊看區塊鏈安全技術的發展
●●●
Tencentccc
題圖 | 網路
來源 | 賽迪網
「
春節的氛圍還未結束,就當大家還沉浸在節日的喜慶中時,黑客們已經開始「工作」了。2月24日7時4分,湖南省兒童醫院全院信息系統出現故障,疑似伺服器遭到黑客的病毒攻擊,所有數據被進行了加密,無法訪問醫院的資料和文件。
事態得到控制,醫院系統已經恢復
24日上午10點左右,醫院迅速執行了特殊情況下的應急預案,簡化就診流程同時增加人手,迅速接診滯留病人。10時30分左右醫院診療流程基本恢復正常運轉,急診危急重症病人通道暢通。據了解當天中午院內自助取號機、抽血驗血等診療設備仍然顯示關閉,可能是醫院採取的緊急措施,為了對患者的就診數據進行保護。
25日湖南當地媒體報道,醫院已經邀請了國內知名安全公司以及網路安全專家,懷疑是境外黑客通過外網攻擊,對的醫院HIS伺服器進行了加密,導致醫院業務系統處於不可用狀態。25日,湖南網警巡查執法官方微博表示,當天4時10分,醫院所有業務信息系統均已正常工作,伺服器上的數據經過安全專家的恢復,不存在丟失的情況。
近幾日,也有網傳據知情人士透露,攻擊後黑客專門留下聯繫方式,讓醫院在幾小時內支付比特幣作為贖金。事後院方也表示「本次為疑似最新變種的勒索病毒攻擊,感染病毒後伺服器系統及資料庫文件將會被強制加密。」
元兇新型勒索病毒GlobeImposter
此次GlobeImposter勒索家族攻擊事件顯現出下列特點:
1. GlobeImposter勒索家族習慣以垃圾郵件方式和掃描滲透的方式進行傳播,此次勒索病毒的攻擊過程極可能為Windows遠程桌面服務密碼被暴力破解後植入勒索病毒。
2. 從勒索病毒樣本層面看,此次的GlobeImposter勒索軟體在代碼上進行了一些改變。如以往該家族樣本在加密之前會結束諸如」sql」,「outlook」,「excel」、」word」等進程,而此次的勒索病毒則沒有這些對進程的檢測的代碼。
3. 該次的勒索病毒使用了RSA+AES加密方式,其中AES密鑰的生成方式並不是通過傳統的隨機函數等生成,而是通過CoCreateGuid函數生成全局唯一標識符,並將該標識符做為AES加密演算法的secret key。
在網上公開的針對此家族勒索病毒的分析報告中,對文檔加密部分的勒索原理都語焉不詳,公開的報告中對文檔加密演算法等細節總是也是一筆代過。鑒於此,本篇將對該樣本的勒索原理進行闡述,重點將從技術角度對文檔的加密過程進行分析。
勒索病毒使用了RSA+AES加密方式,加密過程中涉及兩對RSA密鑰(分別為黑客公私鑰和用戶公私鑰,分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對密鑰)和一對AES密鑰。黑客RSA密鑰用於加密用戶RSA密鑰,用戶RSA密鑰用於加密AES密鑰,AES密鑰用於加密文件內容。
區塊鏈安全技術的應用
比特幣之所以成為贖金支付的首選,皆因其用戶匿名性、交易透明性和支付全球化,而在這些優勢的背後,是被稱為「區塊鏈」(Blockchain)的底層技術。儘管這一術語遠不如比特幣流行,但作為一種「分散式共享賬簿」,早已為電腦專家、金融業者及監管機構所熟知。事實上,如今的區塊鏈已經從比特幣向資產登記、股票交易、個人徵信等更大範圍的金融領域邁進,並且已經在在網路安全領域一顯身手了。
區塊鏈技術一定程度上可被認為是安全技術,因為它能讓用技術用戶相信——存儲在防篡改的分散式賬本上的交易內容是有效的。它所採用的分散式架構、順序散列和密碼學機制,能夠抵禦蠢蠢欲動的黑客——攻擊區塊鏈還是與攻擊普通資料庫顯然是截然不同的。企業應用區塊鏈搭建的應用,可以在數據的完整性和可信任的兩個維度上得到一定的保障。
數據機密性
從信息安全機密性角度來看,如何保護數據的訪問和使用許可權一直是件困難的事。區塊鏈能夠提供的恰恰是強驗證機制。應用區塊鏈技術開發應用時,考慮網路的訪問許可權依舊是建立數據安全保護中最基礎的一道防線。
區塊鏈應用在設計時需要包括高級安全控制功能,如應用PKI(公鑰基礎設施)來對用戶進行認證和授權。企業可以利用分散式的公鑰系統來驗證設備和用戶,為每個設備提供特定的SSL證書而不是密碼。 如果證書數據的管理是在區塊鏈上進行的,攻擊者就無法再使用假證書。
數據完整性
區塊鏈中的數據不可修改,這容易讓我們想到今年5月就要實施的歐盟GDPR(數據隱私保護協議)中的相關條款——科技企業需要實現用戶數據的遺忘,即可以在一定情況下企業需要提供用戶永久刪除某些數據的條件。如果說區塊鏈節點中的數據不可修改和刪除,在網路安全信息合規上將會遭遇極大的挑戰。
顯然,企業還是有方案來實現區塊鏈應用數據遺忘功能的。其中之一的解決方案是企業可對用戶的個人數據加密後存儲在區塊上,在需要實施遺忘時將密鑰刪除,以確保敏感數據永久無法訪問。
END
來源:賽迪網 http://www.ccidnet.com/2018/0304/10363649.shtml
