Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

从新型勒索软件攻击看区块链安全技术的发展

春节的氛围还未结束,就当大家还沉浸在节日的喜庆中时,黑客们已经开始“工作”了。2月24日7时4分,湖南省儿童医院全院信息系统出现故障,疑似服务器遭到黑客的病毒攻击,所有数据被进行了加密,无法访问医院的资料和文件。
发布时间:2018-03-04 10:57        来源:赛迪网        作者:yao

赛迪网讯春节的氛围还未结束,就当大家还沉浸在节日的喜庆中时,黑客们已经开始“工作”了。2月24日7时4分,湖南省儿童医院全院信息系统出现故障,疑似服务器遭到黑客的病毒攻击,所有数据被进行了加密,无法访问医院的资料和文件。

902206073966702080

事态得到控制,医院系统已经恢复

24日上午10点左右,医院迅速执行了特殊情况下的应急预案,简化就诊流程同时增加人手,迅速接诊滞留病人。10时30分左右医院诊疗流程基本恢复正常运转,急诊危急重症病人通道畅通。据了解当天中午院内自助取号机、抽血验血等诊疗设备仍然显示关闭,可能是医院采取的紧急措施,为了对患者的就诊数据进行保护。

25日湖南当地媒体报道,医院已经邀请了国内知名安全公司以及网络安全专家,怀疑是境外黑客通过外网攻击,对的医院HIS服务器进行了加密,导致医院业务系统处于不可用状态。25日,湖南网警巡查执法官方微博表示,当天4时10分,医院所有业务信息系统均已正常工作,服务器上的数据经过安全专家的恢复,不存在丢失的情况。

近几日,也有网传据知情人士透露,攻击后黑客专门留下联系方式,让医院在几小时内支付比特币作为赎金。事后院方也表示“本次为疑似最新变种的勒索病毒攻击,感染病毒后服务器系统及数据库文件将会被强制加密。”

元凶新型勒索病毒GlobeImposter

此次GlobeImposter勒索家族攻击事件显现出下列特点:

1. GlobeImposter勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,此次勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴力破解后植入勒索病毒。

2. 从勒索病毒样本层面看,此次的GlobeImposter勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如”sql”,“outlook”,“excel”、”word”等进程,而此次的勒索病毒则没有这些对进程的检测的代码。

3. 该次的勒索病毒使用了RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。

在网上公开的针对此家族勒索病毒的分析报告中,对文档加密部分的勒索原理都语焉不详,公开的报告中对文档加密算法等细节总是也是一笔代过。鉴于此,本篇将对该样本的勒索原理进行阐述,重点将从技术角度对文档的加密过程进行分析。

勒索病毒使用了RSA+AES加密方式,加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥,分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。

区块链安全技术的应用

比特币之所以成为赎金支付的首选,皆因其用户匿名性、交易透明性和支付全球化,而在这些优势的背后,是被称为“区块链”(Blockchain)的底层技术。尽管这一术语远不如比特币流行,但作为一种“分布式共享账簿”,早已为电脑专家、金融业者及监管机构所熟知。事实上,如今的区块链已经从比特币向资产登记、股票交易、个人征信等更大范围的金融领域迈进,并且已经在在网络安全领域一显身手了。

区块链技术一定程度上可被认为是安全技术,因为它能让用技术用户相信——存储在防篡改的分布式账本上的交易内容是有效的。它所采用的分布式架构、顺序散列和密码学机制,能够抵御蠢蠢欲动的黑客——攻击区块链还是与攻击普通数据库显然是截然不同的。企业应用区块链搭建的应用,可以在数据的完整性和可信任的两个维度上得到一定的保障。

·数据机密性

从信息安全机密性角度来看,如何保护数据的访问和使用权限一直是件困难的事。区块链能够提供的恰恰是强验证机制。应用区块链技术开发应用时,考虑网络的访问权限依旧是建立数据安全保护中最基础的一道防线。

区块链应用在设计时需要包括高级安全控制功能,如应用PKI(公钥基础设施)来对用户进行认证和授权。企业可以利用分布式的公钥系统来验证设备和用户,为每个设备提供特定的SSL证书而不是密码。 如果证书数据的管理是在区块链上进行的,攻击者就无法再使用假证书。

·数据完整性

区块链中的数据不可修改,这容易让我们想到今年5月就要实施的欧盟GDPR(数据隐私保护协议)中的相关条款——科技企业需要实现用户数据的遗忘,即可以在一定情况下企业需要提供用户永久删除某些数据的条件。如果说区块链节点中的数据不可修改和删除,在网络安全信息合规上将会遭遇极大的挑战。

显然,企业还是有方案来实现区块链应用数据遗忘功能的。其中之一的解决方案是企业可对用户的个人数据加密后存储在区块上,在需要实施遗忘时将密钥删除,以确保敏感数据永久无法访问。

资料来自网络

专题访谈

合作站点
stat