安全研究人员利用攻击者破解加密的事件,发现了一种新的恶意软件以及链接到各种针对性攻击的网络基础设施。这个名为Chainshot的新恶意软件在攻击的早期阶段用于激活恶意连锁反应中最终有效载荷的下载程序。研究人员在追踪了一系列有针对性的恶意软件活动中使用的Adobe Flash零日攻击(CVE-2018-5002)之后找到了Chainshot。
什么是RSA密码系统?
RSA(Rivest-Shamir-Adleman)密码系统使用非对称密钥算法,其中公钥用于加密数据,并且需要私有密钥来解密数据。
破解加密
通过研究与攻击者的命令和控制(C2)服务器交换的流量的网络捕获,Unit 42恶意软件分析师注意到恶意软件有效负载是使用512位RSA密钥加密的。自1999年以来,破解512位密钥是可能的,因为模数需要300台计算机 工作七个月。今天,您只需要 花钱购买云计算能力和几个小时的等待时间。
研究人员解释了他们如何破解解密Chainshot的私钥。
“虽然私钥仅保留在内存中,但公钥的模数n被发送到攻击者的服务器。在服务器端,模数与硬编码指数e 0x10001一起使用,以加密使用的128位AES密钥以前加密漏洞和shellcode有效负载,“
使用工厂即服务 (FaaS),研究人员能够计算解密密钥并访问Chainshot恶意软件。
Chainshot恶意软件具备多个功能
除了成为连锁反应的一部分,使得难以单独分析组件,Chainshot包含搜索和绕过x86和x64平台的Kaspersky和Bitdefender防病毒解决方案的代码。
它的任务是在受感染的计算机上推送另一个恶意软件,从而降低最终的负载。Chainshot还负责指纹识别系统,发送有关用户和机器上运行的进程的详细信息。
由于对手犯了使用不安全加密和在其他攻击中回收SSL证书的错误,安全研究人员能够将该活动与其他事件相关联,并为整个操作绘制更清晰的图像。