使用硬件加速的勒索软件–XData

近日,一款名为Xdata的勒索软件大范围攻击了乌克兰的计算机设备,被攻击的主机上文件被加密,攻击者要求通过匿名邮件联系,来支付赎金并且获得解密的方法。

该勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程。

AES-NI指令集

高级加密标准新指令(Advanced Encryption Standard New Instructions; AES-NI),是一个x86指令集架构的扩展,用于IntelAMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用高级加密标准(AES)执行加密和解密的速度。

AES-NI新指令如下表所示:

指令 描述
AESENC 执行一轮AES加密流
AESENCLAST 执行最后一轮AES加密流
AESDEC 执行一轮AES解密流
AESDECLAST 执行最后一轮AES解密流
AESKEYGENASSIST 协助生成AES轮回秘钥
AESIMC 协助AES逆列混合

 

AESENC,AESENCLAST,AESDEC,AESDECLAST四条指令完成加解密功能,每条指令有两个参数register-register或register-memory。

AESENC完成一轮加密操作,包括四步:

  • 字节替代(SubBytes)
  • 行移位(ShiftRows)
  • 列混淆(MixColumns)
  • 轮密钥加(AddRoundKey)

AESENCLAST完成最后一轮加密操作:

  • 字节替代(SubBytes)
  • 行移位(ShiftRows)
  • 轮密钥加(AddRoundKey)

AESDEC完成一轮解密操作,包括四步:

  • 逆向字节替代(InvSubBytes)
  • 逆向行移位(InvShiftRows)
  • 逆向列混淆(InvMixColumns)
  • 轮密钥加(AddRoundKey)

AESDECLAST完成最后一轮解密操作:

  • 逆向字节替代(InvSubBytes)
  • 逆向行移位(InvShiftRows)
  • 和轮密钥加(AddRoundKey)

AESENC和AESENCLAST加密操作伪代码如下:

AESDEC和AESDECLAST解密操作伪代码如下:

AES-128加密过程如下:

AES-192解密过程如下:

AESKEYGENASSIST和AESIMC两条指令是加解密操作的扩展指令,AESKEYGENASSIST用于协助生成AES轮回秘钥,AESIMC用于协助解密操作AES逆列混合。

AESKEYGENASSIST指令操作伪代码:

AESIMC指令操作伪代码如下:

参考链接:

https://software.intel.com/en-us/articles/intel-advanced-encryption-standard-instructions-aes-ni

https://software.intel.com/en-us/articles/intel-advanced-encryption-standard-aes-instructions-set

Xdata勒索软件AES-NI使用

Xdata勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程:

使用aeskeygenassist指令协助生成AES轮回秘钥:

使用aesenc和aesenclast指令完成加密操作:

总结

XData勒索软件据说来源于早些时候曝出的AES-NI勒索软件,该软件的作者也于前些日子公开发表声明,表示“Xdata是有人偷取了之前AES-NI样本的代码从而设计并传播的,和自己没有关系”。Xdata和AES-NI勒索软件均通过检测感染主机是否支持aes-ni高级加密指令集,若支持,则使用硬件加速提高文件加密速度。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment