Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вымогательское ПО RansomClave использует Intel SGX для хранения ключей шифрования

20/08/21

SGXКоманда специалистов Лондонского университета разработала экспериментальный образец вымогательского ПО RansomClave, использующий для сокрытия и хранения ключей шифрования высокозащищенные анклавы Intel SGX.

«Жизненный цикл типичной атаки вымогательского ПО проходит через четыре основные фазы: инсталляция, создание уникального открытого/закрытого ключа шифрования, шифрование (с помощью симметричных ключей) и вымогательство/выпуск закрытого ключа. Для успеха операции созданный во второй фазе закрытый ключ должен надежно храниться и быть выпущен только в конце последней фазы, после уплаты жертвой выкупа», - пояснили исследователи.

В настоящее время несколько образцов вымогательского ПО генерируют и хранят ключи шифрования в недоверенных областях памяти компьютера. По завершении процесса шифрования ключи сбрасываются и после перезагрузки системы удаляются. В редких случаях жертвам может повезти, и специалистам из команд реагирования на инцидент удастся извлечь копии ключей из памяти до их удаления и восстановить зашифрованные файлы.

Команда специалистов Лондонского университета решила выяснить, может ли вымогательское ПО защитить свои ключи шифрования во время атаки с помощью доверенной среды выполнения (Trusted Execution Environment, TEE), часто использующейся в облаке.

TEE, также известные как анклавы центрального процессора, представляют собой отдельные области внутри процессора, где ОС или локальные приложения (в том числе, вымогательское ПО) могут загружать и запускать код, к которому у других процессов доступа не будет.

В ходе исследования команда разработала экспериментальное вымогательское ПО RansomClave, использующее анклавы Intel SGX для безопасного хранения ключей шифрования. Кроме того, вымогатель использует анклавы для автоматической расшифровки файлов на зараженном хосте, когда анклав обнаруживает, что на нужный криптовалютный адрес была отправлена требуемая сумма.

У специалистов не возникает сомнений, что проекты наподобие RansomClave обязательно заинтересуют кибервымогательские группировки. В связи с этим они намерены не открывать код своего вымогателя.

Подробнее: https://www.securitylab.ru/news/523562.php

Темы:IntelОтрасльВымогателиуниверситетские исследования
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...