رمزگشایی باجافزار Akira با کمک GPU
یک محقق امنیتی، ابزاری را برای بازگرداندن فایلهای رمزگذاریشده توسط نسخه تحت Linux باجافزار Akira منتشر کرده که از GPU بهمنظور بازیابی کلید رمزگشایی استفاده میکند.
این ابزار، با اجرای حمله Brute-force، اقدام به شکستن کلیدهای رمزگذاری (که برای هر فایل منحصربهفرد هستند) میکند و از این واقعیت بهره میبرد که Akira کلیدهای رمزگذاری خود را بر اساس زمان جاری (بهصورت نانوثانیه) بهعنوان بذر (Seed) تولید میکند.
بذر رمزگذاری دادهای است که برای تولید کلیدهای رمزگذاری قوی و غیرقابل پیشبینی با استفاده از توابع رمزنگاری، بکار گرفته میشود. از آنجا که بذر بر تولید کلید تأثیر میگذارد، مخفی نگه داشتن آن بهمنظور جلوگیری از بازسازی کلیدهای رمزگذاری یا رمزگشایی از طریق حمله Brute-force یا دیگر حملات رمزنگاری بسیار حیاتی است.
باجافزار Akira بهطور پویا با استفاده از چهار بذر زمانسنجی مختلف با دقت نانوثانیه و انجام ۱۵۰۰ دور هش SHA-256، کلیدهای رمزگذاری منحصربهفردی برای هر فایل تولید میکند.
این کلیدها با RSA-4096 رمزگذاری شدهاند و در انتهای هر فایل رمزگذاریشده اضافه میشوند.
دقت بالای زمانسنجی در تایماستامپها سبب میشود که بیش از یک میلیارد مقدار ممکن در هر ثانیه وجود داشته باشد که این امر انجام حملات Brute-force برای شکستن کلیدها را دشوار میکند.
به گفته این محقق، باجافزار Akira در Linux چندین فایل را بهطور همزمان با استفاده از چند رشته (Multi-threading) رمزگذاری میکند که این کار تشخیص بذر زمانسنجی استفادهشده را سختتر و پیچیدهتر میسازد.
این محقق با در جریان بررسی فایلهای لاگ توانست تایماستامپهای ممکن را برای انجام حملات Brute-force محدود کند. این کار به او این امکان را داد که ببیند باجافزار چه زمانی اجرا شده، متادیتای فایلها را برای تخمین زمانهای اتمام رمزگذاری بررسی کند و از این طریق معیارهای رمزگذاری را روی سختافزارهای مختلف ایجاد کند تا در نهایت پروفایلهای قابل پیشبینی ایجاد شود.
تلاشهای اولیه او با استفاده از کارت گرافیک RTX 3060 بسیار کند پیش رفت و تنها قادر به انجام ۶۰ میلیون آزمایش رمزگذاری در ثانیه بود. ارتقاء به RTX 3090 نیز کمک چندانی به او نکرد.
در نهایت، محقق به استفاده از خدمات GPU ابری روی آورد و از 16 کارت گرافیک RTX 4090 برای انجام حمله Brute-force و شکستن کلید رمزگشایی در حدود ۱۰ ساعت استفاده کرد. با این حال، بسته به تعداد فایلهای رمزگذاریشدهای که باید بازیابی شوند این فرآیند ممکن است چند روز طول بکشد.
این محقق اشاره کرده که متخصصان GPU هنوز میتوانند کد او را بهینهسازی کنند.
ابزار مذکور به همراه دستورالعملهایی برای بازیابی فایلهای رمزگذاریشده با Akira در لینک زیر به اشتراک گذاشته شده است:
