콘텐츠로 건너뛰기

처음 오픈소스 랜섬웨어, HiddenTear ransomware

처음 오픈소스 랜섬웨어, HiddenTear ransomware

예방주사 프로그램 알약 랜섬웨어 사태가 발생했는데요 알약이 설치된 PC에 갑자기 랜섬웨어 예방 알림으로 윈도우에 설치된 프로그램을 랜섬웨어로 잘못 인식해서 오류가 발생했다고 합니다.

초기화 벡터의 재사용 👈클릭

초기화 벡터의 재사용
초기화 벡터의 재사용

초기화 벡터의 재사용

Hidden Tear 절차는 암호화 과정에서 모든 파일에 대하여 동일한 초기화 벡터IV를 사용합니다. 이는 일관성과 사용 편의성을 보장하기 때문에 사용자는 번거롭게 각 파일마다. 고유한 IV를 입력할 필요가 없습니다. 하지만 이는 암호화를 덜 안전하게 만들게 됩니다. 이는 암호화된 각 파일에 대하여 동일한 키가 사용된다는 것을 의미하며, 평문 파일 버전에 액세스할 수 있는 해커는 동일한 키로 암호화된 다른 파일의 부분을 해독하는 데 고정된 IV를 사용할 수 있습니다.

비트코인의 등장 이전
비트코인의 등장 이전

비트코인의 등장 이전

랜섬웨어가 탄생하기 이전에도 사용자의 PC를 사용하지 못하도록 만드는 악성 코드는 많이 있었습니다. 유사 랜섬웨어 격입니다. 그중 가장 대표 격인 녀석이 카지노 바이러스다. 금전을 요구하지는 않았습니다. 하지만 과거의 하드디스크 용량은 작았기에 이를 주기억장치RAM에 하드의 데이터를 백업 후 카지노 게임을 진행하여 잭팟이 당첨되지 않으면 재부팅 하여 주기억장치의 데이터를 날렸다. 의외로 정직하게 잭팟이 당첨되면 복구해 주었다.

위와 달리 최초의 랜섬웨어로 알려진 것은 AIDS 트로이목마입니다. 1989년 세계보건기구 에이즈 회담에서 이 악성 코드가 담긴 디스켓이 배포되었습니다. 파일을 복구하기 위해선 파나마의 한 우편함에 미화 189를 보내어 다른 복호화 디스켓을 받아야 했다. 비트코인 등장 이전 랜섬웨어는 결제 수단, 우편내역, 송금내역 등이 남아있었기에 범죄자의 추적이 얼추 가능했었다.

초기화 벡터의 재사용 👈클릭

랜덤 알고리즘의 시드

Hidden Tear 랜섬웨어는 암호화 키 생성 과정에서 중요한 취약점을 포함하고 있습니다. 특히, 이 랜섬웨어는 .Net의 를 사용하여 암호화 키를 위한 무작위 문자열을 생성합니다. 그러나 Random Class는 를 사용하여 난수 생성기에 시드를 제공하며, 이는 시스템 시작 이후 경과한 밀리초 수를 사용합니다. 이 접근 방식은 시드 예측을 쉽게 만들어 브경로 포스 공격의 표면적을 줄입니다.

작동 방법암호화 과정

1 GitHub에서 히든 티어 랜섬웨어 소스 코드를 다운로드합니다. GitHub 이는 개발자의 깃허브가 아니며 추후에 상대방이 올린 소스파일입니다. 개발자는 깃허브에서 히든 티어의 코드를 삭제하였습니다. 2 압축 해제 후, hiddentear.sln 소스 코드 파일을 빌드합니다. Microsoft Visual Studio를 사용하여 소스 코드 파일 hiddentear.sln을 빌드하면 빌드가 성공하면 hiddentear.exe 파일을 찾을 수 있습니다.

3 hiddentear.exe 파일을 실행하여 연습하고 암호화를 수행합니다. 감염된 PC는 인터넷에 연결되어야 합니다. 이는 인터넷을 통해 외부 서버와 통신해야 하기 때문입니다.

복호화 과정

실습용 Hidden Tear 랜섬웨어의 경우 복호화Decryption 할 수 있는 소스코드가 포함되어 있습니다. 1 복호화 파일 생성 후, 복호화Decryption를 진행합니다. 암호화 시 진행했던 컴파일과 동일하게 hiddenteardecrypter.sln 파일을 컴파일하고, 실행 시 패스워드암호화 키 입력을 통해 복호화Decryption가 가능하게 됩니다.

일반적인 랜섬웨어의 종류

이 외에도 현재까지 감지할 수 있는 랜섬웨어만 해도 1천 종류 이상 여러가지 랜섬웨어가 존재합니다. 크립토락커CryptoLocker 2013년에 발생한 랜섬웨어로 컴퓨터 내의 모든 파일시스템영역 포함 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호화 시킨다. 비트코인을 통해 복호화 대금의 결제를 요구합니다. 입금 기한은 1주일 시간제한을 주고 해당 기간이 지나면 가격을 2배로 올리는 게 특징입니다.

크립토월CrptoWall 랜섬웨어 중에서도 현재 가장 빈번하게 사용되고 있는 랜섬웨어입니다. 워너크라이(WannaCry): 2017년 5월 전 세계계 적으로 손해를 준 랜섬웨어다. SMB 원격코드 실행 취약점을 악용한 것으로, 인터넷만 연결되어 있어도 감염됩니다. 워너크라이에 대한 별도 예방 조치 방법이 있을 정도로 가장 대표적이라고 할 있습니다.

같이보시면 좋은글

  1. 배가 부글부글 끓는 증상 원인 해결방법 알아보기
  2. 1년 정기예금가장 이율높은곳 3년 적금 농협축협우체국 금리비교어디
  3. 홍대마사지 스파에반하다 마포 마사지구인 및 알바 모집
  4. 이력서 이메일로서 지원하기 #템플릿
  5. 2022년 11월 마지막 주 마리끌레르 별자리 운세

자주 묻는 질문

초기화 벡터의 재사용

Hidden Tear 절차는 암호화 과정에서 모든 파일에 대하여 동일한 초기화 벡터IV를 사용합니다. 궁금한 사항은 본문을 참고하시기 바랍니다.

비트코인의 등장 이전

랜섬웨어가 탄생하기 이전에도 사용자의 PC를 사용하지 못하도록 만드는 악성 코드는 많이 있었습니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.

랜덤 알고리즘의 시드

Hidden Tear 랜섬웨어는 암호화 키 생성 과정에서 중요한 취약점을 포함하고 있습니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.