Войти
Криптовирология - это область, в которой изучается, как использовать криптографию для разработки мощного вредоносного программного обеспечения. Эта область родилась с наблюдением, что криптография с открытым ключом может быть использована для нарушения симметрии между тем, что аналитик антивирус видит в отношении вредоносного ПО, и тем, что видит злоумышленник. Антивирусный аналитик видит открытый ключ, содержащийся в вредоносной программе, тогда как злоумышленник видит открытый ключ, содержащийся в вредоносной программе, а также соответствующий закрытый ключ (вне вредоносной программы), поскольку злоумышленник создал пару ключей для атаки. Открытый ключ позволяет вредоносной программе выполнять односторонние операции с лазейкой на компьютере жертвы, отменить которые может только злоумышленник.
Поле охватывает скрытые атаки вредоносного ПО, при которых злоумышленник безопасно крадет личную информацию, такую как симметричные ключи, закрытые ключи, состояние PRNG, и данные жертвы. Примерами таких скрытых атак являются асимметричные бэкдоры. асимметричный бэкдор - это бэкдор (например, в криптосистеме ), который может использоваться только злоумышленником, даже после того, как он обнаружен. Это контрастирует с традиционным бэкдором, который является симметричным, то есть любой, кто его обнаружит, может его использовать. Клептография, подраздел криптовирологии, изучает асимметричные лазейки в алгоритмах генерации ключей, алгоритмах цифровой подписи, обмене ключами, генераторах псевдослучайных чисел, алгоритмах шифрования и других криптографических алгоритмах. Генератор случайных битов NIST Dual EC DRBG имеет асимметричный бэкдор. Алгоритм EC-DRBG использует клептограмму с дискретным логарифмом из Kleptography, которая по определению делает EC-DRBG криптотрояном. Как и программа-вымогатель, криптотроян EC-DRBG содержит и использует открытый ключ злоумышленника для атаки на хост-систему. Криптограф Ари Джулс указал, что АНБ эффективно организовало клептографическую атаку на пользователей алгоритма генерации псевдослучайных чисел Dual EC DRBG и что, хотя специалисты по безопасности и разработчики тестируют и внедряют клептографические атаки с 1996 года, «вам будет трудно найти тот, который реально используется до сих пор ». Из-за общественного возмущения по поводу этой криптовирологической атаки NIST исключил алгоритм EC-DRBG из стандарта NIST SP 800-90.
Атаки с скрытой утечкой информации, осуществляемые криптовирусами, криптотроянами и крипто-червями, которые по определению содержат а использование открытого ключа злоумышленника - одна из основных тем в криптовирологии. При «похищении пароля, в котором невозможно отказаться», криптовирус устанавливает криптотрояна, который асимметрично шифрует данные хоста и тайно передает их. Это делает его доступным для всех, никем не заметным (кроме атакующего) и доступным для расшифровки только атакующим. Злоумышленник, уличенный в установке криптотрояна, утверждает, что является жертвой вируса. Наблюдавший за приемом скрытой асимметричной широковещательной передачи злоумышленник является одним из тысяч, если не миллионов получателей, и не демонстрирует никакой идентифицирующей информации. Криптовирологическая атака обеспечивает «сквозное отрицание». Это скрытая асимметричная трансляция данных жертвы. Криптовирология также включает использование извлечения частной информации (PIR), чтобы позволить криптовирусам искать и красть данные хоста, не раскрывая искомые данные, даже когда криптотроянец находится под постоянным наблюдением. По определению такой криптовирус несет в своей собственной кодовой последовательности запрос злоумышленника и необходимую логику PIR для применения запроса к хост-системам.
Первая криптовирологическая атака, изобретенная Адамом Л. Янгом и Моти Юнгом, называется «криптовирусное вымогательство» и была представлена на конференции IEEE Security 1996 г. Конференция по конфиденциальности. В этой атаке криптовирус, крипточервь или криптотроян содержит открытый ключ злоумышленника и гибридно шифрует файлы жертвы. Вредоносная программа предлагает пользователю отправить асимметричный зашифрованный текст злоумышленнику, который расшифрует его и вернет содержащийся в нем симметричный ключ дешифрования за определенную плату. Симметричный ключ нужен жертве для расшифровки зашифрованных файлов, если нет возможности восстановить исходные файлы (например, из резервных копий). В документе IEEE 1996 года предсказывалось, что злоумышленники, вымогающие криптовалюты, однажды потребуют электронные деньги, задолго до того, как биткойн вообще существует. Много лет спустя СМИ переименовали шифровальщик в вымогательство как программу-вымогатель. В 2016 году криптовирологические атаки на поставщиков медицинских услуг достигли уровня эпидемии, что побудило Министерство здравоохранения и социальных служб США опубликовать Информационный бюллетень по программам-вымогателям и HIPAA. В информационном бюллетене говорится, что, когда защищенная электронно медицинская информация зашифрована с помощью программы-вымогателя, произошло нарушение, и поэтому атака представляет собой раскрытие, которое не разрешено HIPAA, поскольку злоумышленник взял под контроль информацию. Конфиденциальные данные могли никогда не покинуть организацию-жертву, но взлом мог позволить отправить данные незамеченными. Калифорния приняла закон, определяющий, что внедрение программ-вымогателей в компьютерную систему с целью вымогательства является нарушением закона.
В то время как вирусы в wild использовали криптографию в прошлом, единственной целью такого использования криптографии было избежать обнаружения антивирусным программным обеспечением. Например, вирус тремора использовал полиморфизм в качестве защитной техники, пытаясь избежать обнаружения антивирусным программным обеспечением. Хотя криптография действительно помогает в таких случаях увеличить долговечность вируса, возможности криптографии в полезной нагрузке не используются. Вирус «Половина» был одним из первых вирусов, зашифровавших зараженные файлы.
Примером вируса, который информирует владельца зараженной машины о необходимости уплаты выкупа, является вирус с именем Tro_Ransom.A. Этот вирус просит владельца зараженной машины отправить 10,99 доллара на указанный счет через Western Union.. Virus.Win32.Gpcode.ag - классический криптовирус. Этот вирус частично использует версию 660-битного RSA и шифрует файлы с множеством различных расширений. Он инструктирует владельца машины отправить указанный почтовый идентификатор по электронной почте, если владелец желает использовать дешифратор. Если с ним свяжутся по электронной почте, пользователю будет предложено заплатить определенную сумму в качестве выкупа в обмен на дешифратор.
Было продемонстрировано, что с помощью всего 8 различных вызовов Microsoft Cryptographic API (CAPI), криптовирус может удовлетворить все его потребности в шифровании.
Помимо криптовирусного вымогательства, существуют и другие потенциальные применения криптовирусов, такие как отбор паролей, требующих отказа, крипто-счетчики, получение частной информации, а также в защищенной связи между различными экземплярами распределенного криптовируса.
