LockBit ranswomware双RSA密钥加密逻辑

Question

为了理解现代的赎金机制，我登陆了一篇关于LockBit的博文。

这个让我很困惑，因为：

• 此ransomware在受感染的设备上生成一对RSA密钥，用于加密用于加密文件的AES密钥。
• 然后，该RSA密钥的私钥被嵌入在ransomware中的公钥加密。这个钥匙对于每一次攻击/受害者来说都是独一无二的。

所以..。拥有2密钥对有什么意义？

无论如何，攻击者必须为每个受害者托管一个私钥，那么为什么会有这样的本地密钥呢？公开的嵌入密钥不能直接用于加密AES密钥吗？

Answer 1

然后，该RSA密钥的私钥被嵌入在ransomware中的公钥加密。这个钥匙对于每一次攻击/受害者来说都是独一无二的。

我认为这就是造成混乱的原因。您指定的站点上的描述肯定不是这样的：

加密是基于两种算法: RSA和AES。首先，在受感染的工作站上生成RSA会话密钥对。此密钥对使用嵌入式攻击者的公钥进行加密，并保存在注册表SOFTWARE\LockBit\full中。

“嵌入式攻击者公钥”很可能是攻击者拥有的公钥，并嵌入到软件中。攻击者将该密钥对的私钥保存在某个安全的地方。

所以我觉得这只是个误会。当然，该软件可以包含大量预先生成的公钥，但是在本地生成密钥对，然后发送加密的私有会话密钥(每当受害者决定付款时)则更有意义。

缺点是--当然--在攻击者的眼中，如果受害者能够以某种方式检索私钥，这一切都是徒劳的。但是，如果密钥对可以保存在内存中，并在密钥对生成/加密后直接销毁，则攻击者将保持它们的优势。

现在，要获取数据，受害者或软件将“他们”加密的私钥发送给攻击者，攻击者可以对其解密并发回明文值。

请注意，对于RSA，RSA私钥可以在生成后直接加密，因为您只需要公钥进行加密。加密操作期间需要有AES密钥。因此，拥有单独的非对称密钥对攻击者来说是有意义的。