最近群里提到TeslaCrypt的作者放出了主密钥,简单看了下,对他的加密流程比较感兴趣。受条件限制,没有拿到早期样本(只拿到了晚一些的),放狗搜了搜也没找到,但是找到了两款解密程序。一款是Googulator开发的TeslaCrack,另外一款则是BloodDolly开发的TeslaDecoder。前者虽然开源,但支持解密的版本少于后者。本文通过分析及逆向样本和这两款工具,试图了解TeslaCrypt的设计思路。
下文中所有图片如无特殊说明,均为对BloodDolly开发的TeslaDecoder(简称“TD”)的逆向过程截图。
TeslaCrypt(以及AlphaCrypt,下文统称为“TC”)算是比较“成熟”的勒索软件,其版本从0.2逐步升级到目前已知的最高版本4.0+(也不知道有没有Insider Preview)。随着版本的升级,其加密和密钥处理技巧也在不断升级。
勒索软件的制作者为了打到目的,通常会给用户一个比特币钱包的地址。用户向该钱包付款之后,可以得到一个解密密钥,用此密钥即可解密。有报告指出,不同的受害者需要向不同的钱包中打款,这暗示着比特币钱包的生成过程可能与加密密钥的产生存在一定关联。因此,先大致了解下钱包是如何生成的。
比特币钱包生成的基本步骤是:
如果想知道关于椭圆曲线算法的更多细节,有 一篇文章 比较适合参考阅读。此外,TC还采用了ECDHE算法进行密钥交换,只是将DH里的非对称加密机制换成了椭圆曲线算法,其他变化不大,可以参考 这里 获得更多细节。
TC被首次载入时,就生成了一对PublicBtcKey/PrivateBtcKey。其中,PublicBtcKey就是向用户显示的地址,而PrivateBtcKey则被发送给C&C服务器,以进行之后的转账操作。不同版本的TC,这一点是不变的。
TC作者本次公布的密钥是四号密钥,应用于TC3.0以及TC4.0版本。这两个版本都采用了比较完整的分层密钥机制,并且提高了样本隐蔽性。TC4.0的准备过程如下:
现在TC已经做好了加密准备。TC的加密是以一个session为一环的,每次重启、关闭计算机,都会终止当前的session,并启动一个新的session。每次session里的加密细节是:
按照攻击者的设定,用户在被攻击后,应该使用下面的流程来解密文件:
在TC4.0中,作者在每个文件头里都保存了三个对解密必不可少的值:
此外还保存了:
而且,在密钥没有保存意义后,立刻用数据对相应的存储区域进行清洗,防止安全/取证软件获取到解密密码。通过这里也可以看出,病毒作者通过分析一些专杀工具和解密工具,对自己的技术也进行了升级。密钥的分层机制也比较明确,在网络里传输的数据,如果没有Private_MalMaster,是无法解密BTC钱包地址的,而SessionKey的解密又依靠这个地址,从而保证除了攻击者没有第三方可以绕过逻辑解密文件。最后完成的3.x和4.x版本,基本可以作为密码学应用的示范程序。在作者公布密钥后,TD也嵌入了密钥,并实现了上述的解密过程。
TC的老版本则没有新版本这么“安全”了。对加密通道运用不当是比较常见的错误,在TC中也由发现。这是最早修复的漏洞,一个比较标志性的版本是v6,在v6之前,所有的文件都可以通过抓取感染后向CC通信的网络流量来解密,但v6版本开始,这一做法便不能使用了。一种合理的猜想是,在旧版本的软件中,可以直接解析出加密密钥。对TD的分析证实了这一点。下图是TD获取网络流量后,判定密钥与比特币地址是否相符的(以免解密错误):
之后,TD便将密钥放入对应区域中,其他操作则与正常解密类似:
从V2版本到V5版本的TC,将传输的私钥以特定方式进行的加密,各版本的密钥也有所不同,但由于密钥是硬编码在程序里的,因此仍可以被TD直接提取出来,这就很尴尬了:
从TD的验证逻辑推断,旧版本的TC应该是向CC服务器直接发回了BTC地址和Private_BtcKey(或简单加密后的Private_BtcKey):
因此,在v5版本的某个变种中,TC作者移除了部分数据,使TC无法验证网络请求中的BTC地址和私钥是否相符,并在v6版本完全修改了向CC传输的数据,不再在通信中直接暴露加密密钥,彻底的封堵了这个逻辑漏洞。然而,利用这个漏洞,需要用户持续收集网络流量,这在很多环境下不容易实现,因此这种方法的利用难度比较高。
第二个漏洞存在于TC的前两个版本中。有一种比较简单的方法,利用的主要是在加密设计过程中的漏洞。由于对数据存储区域清洗不彻底,部分解密密钥可能残留在key.dat和注册表中。获取了部分密钥,可以极大的降低TD的解密难度,而且由于设计过程问题比较严重,这样获得的密钥不是SessionKey而是用户主密钥,这样就可以直接解密所有文件了:
这个漏洞比较容易利用,修补难度也不高,因此只存活了两个版本,就被勤劳的地下工作者修好了。
第三个漏洞就相对不太好利用。V7之前旧版本TC的弱点在于,在目标文件中保留了“RecoveryKey”或与之相似的参数。这个参数是由一个私钥和用于加密该私钥的乘积,其存在意义不明,位置和数量也随版本变化。比如在.xyz格式的文件中,0x108偏移处的130个字节,保存的是文件私钥Private_SessionKey与文件私钥加密密码Secret_Session的乘积。显然,这个积可以被分解为多个质数的乘积,而Private_SessionKey的值可以由这些质数中的一个或多个相乘而来。这样就产生了一个爆破思路:
这种方法能成功有两个主要因素。最重要的一个是由于乘积的存在,增加了信息量,也就弱化了保密特性。而另一个因素则是由于攻击者在这里采用了椭圆曲线算法。这种算法的保密关键点在于,解决ECDLP是困难的(在曲线Ep上给定一个点G,取任意一个整数k,那么可以证得点P=k*G容易在同一条曲线上找到。但是,如果选择适当的参数,那么在已知P、G的情况下,求出k的群操作太慢了,而把G和Ep规定好,令k为私钥,P为公钥,就是椭圆曲线加密的基本原理),而不再一味依靠密钥的位数。因此,在操作中,考虑到时间问题,一般把私钥设定在160~300位,即使与RSA1024相比,这个长度也短的多,因此更容易被从素数表中挖掘出来(这里的“更”是相对与RSA1024来说的,实际上也需要相当量的算力和运气)。解决这个漏洞比较简单,可以修改加密流程,也可以简单的删除这个乘积。因此,在V7以及之后的版本中,取消了这个乘积数据,这样对V7和V8版本的解密就只能依靠攻击者给出的密钥才能解密了。
以上是我根据旧版本Teslacrypt的解密代码,了解到的一些漏洞信息。自己的密码学比较菜,如有不妥,还希望各位给一点人生的经验。