新的 Akira 勒索软件解密器利用 GPU 破解加密密钥
HackerNews 编译,转载请注明出处: 安全研究员约哈内斯·努格罗霍发布了一款针对Akira勒索软件Linux版本的解密器,该解密器利用GPU算力来恢复解密密钥并免费解锁文件。 努格罗霍在朋友的求助下开发了这款解密器,他判断基于Akira生成加密密钥的方式(使用时间戳),破解加密系统在一周内可行。尽管过程中遇到了一些意外的复杂情况,项目耗时三周,且研究员在破解加密密钥上花费了1200美元用于GPU资源,但他最终还是成功了。 这款解密器并不像传统的解密工具那样需要用户提供密钥来解锁文件。相反,它通过暴力破解加密密钥(每个文件唯一)来工作,这利用了Akira加密程序基于当前时间(纳秒)作为种子生成加密密钥的事实。 加密种子是与加密函数一起使用以生成强大且不可预测的加密密钥的数据。由于种子影响密钥生成,因此保持其秘密性至关重要,以防止攻击者通过暴力破解或其他加密攻击重新创建加密或解密密钥。 Akira勒索软件为每个文件动态生成唯一的加密密钥,使用四个不同时间戳种子(纳秒精度),并通过1500轮SHA-256哈希处理。 用于生成密钥的四个时间戳 来源:tinyhack.com 这些密钥使用RSA-4096加密,并附加在每个加密文件的末尾,因此在没有私钥的情况下很难解密。时间戳中纳秒级的精度使得每秒可能产生超过十亿个值,这使得暴力破解密钥变得困难。 此外,努格罗霍表示,Linux上的Akira勒索软件使用多线程同时加密多个文件,这使得确定所用时间戳变得更加困难,进一步增加了复杂性。 研究人员通过查看朋友分享的日志文件,缩小了暴力破解的时间戳范围。这使他能够看到勒索软件的执行时间,通过文件元数据估计加密完成时间,并在不同硬件上生成加密基准以创建可预测的配置文件。 最初使用RTX 3060的尝试速度太慢,每秒只能进行6000万次加密测试。升级到RTC 3090也没有太大帮助。 最终,研究人员转向使用RunPod & Vast.ai云GPU服务,这些服务提供了足够的算力,并且价格合理,足以确认其工具的有效性。 具体来说,他使用了16个RTX 4090 GPU,在大约10小时内暴力破解了解密密钥。然而,根据需要恢复的加密文件数量,这一过程可能需要几天时间。 研究人员在其书面报告中指出,GPU专家仍可优化他的代码,因此性能可能会进一步提升。 努格罗霍已在GitHub上提供了解密器,并附上了如何恢复Akira加密文件的说明。 与往常一样,在尝试解密文件时,请备份原始加密文件,因为使用错误的解密密钥可能会导致文件损坏。 BleepingComputer尚未测试该工具,无法保证其安全性和有效性,因此使用时需自行承担风险。 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
NVIDIA 修复了 Windows GPU 显示驱动程序中的十个漏洞
NVIDIA发布了针对各种显卡型号的安全更新,解决了其GPU驱动程序中的四个高危漏洞和六个中危漏洞。该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。这些更新已适用于Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品,涵盖驱动R450、R470 和 R510等类型。有趣的是,除了积极支持的当前和最近的产品线,NVIDIA的更新还涵盖了GTX 600和 GTX 700 Kepler系列显卡,这类产品在2021年10月就停产了。NVIDIA此前承诺将继续为这些产品提供关键安全更新,直至2024年9月,而此次驱动程序更新兑现了这一承诺。 本月修复的四个高严重性缺陷是: CVE-2022-28181(CVSS v3 得分:8.5) – 由通过网络发送的特制Shader导致的内核模式层越界写入,可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28182(CVSS v3 得分:8.5)——DirectX11 用户模式驱动程序存在缺陷,允许未经授权的攻击者通过网络发送特制的共享并导致拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28183(CVSS v3 分数:7.7)- 内核模式层中的漏洞,非特权普通用户可能导致越界读取,这可能导致拒绝服务和信息泄露。 CVE-2022-28184(CVSS v3 得分:7.1) – DxgkDdiEscape 的内核模式层 (nvlddmkm.sys) 处理程序中的漏洞,普通非特权用户可以访问管理员特权寄存器,这可能导致拒绝服务、信息泄露,以及数据篡改。 这些漏洞对权限要求低且无需用户交互,因此它们可以被整合到恶意软件中,从而允许攻击者执行具有更高权限的命令。前两个可以通过网络利用,而另外两个可以通过本地访问来利用,这对于感染低权限系统的恶意软件仍然很有帮助。 发现CVE-2022-28181和CVE-2022-28182的Cisco Talos今天还发布了一篇文章,详细介绍了他们如何通过提供格式错误的Compute Shader来触发内存损坏漏洞,威胁行为者可以通过WebAssembly和WebGL在浏览器中使用恶意Shader。 对于CVE-2022-28181,Talos说“特制的可执行/ shader文件可能导致内存损坏。这个漏洞可能由运行虚拟化环境(即 VMware、qemu、VirtualBox 等)的虚拟机触发,以执行虚拟机到主机的逃逸。理论上这使用webGL和webassembly的Web浏览器也可能触发漏洞。” 有关本月涵盖的所有修复程序以及每个软件和硬件产品的更多详细信息,请查看NVIDIA官网的安全公告。建议所有用户尽快应用已发布的安全更新。用户可以从NVIDIA的下载中心找到他们型号的最新更新。但是如果用户不是特别需要该软件来保存游戏配置文件或使用其流媒体功能,NVIDIA建议可以不要使用它,因为它会带来不必要的安全风险和资源使用。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333474.html 封面来源于网络,如有侵权请联系删除
安全研究人员:英伟达 GPU 存在旁路攻击漏洞
加州大学河滨分校的研究人员,发现了三种可能被黑客利用 GPU、来攻破用户安全与隐私防线的方法。这些技术可用于监视浏览器活动、窃取密码、以及向基于云端的应用程序发起攻击。研究报道中描述的第一项,指出了 GPU 旁路攻击导致的渲染不安全:“计算机科学家们认为这是可行的,并且描述了他们如何通过对 Nvidia GPU 进行反向工程,将图形渲染和计算机堆栈都拉下水”。 英伟达发布的新卡皇(图自:Nvidia 官网) 论文原标题为《渲染也不安全:计算机旁路攻击是可行的》(Rendered Insecure: GPU Side Channel Attacks are Practical)。其声称,这是人们首次成功地对 GPU 发起旁路攻击。 当然,执行这类攻击,也有着几项前提。首先,受害设备上必须被安装了间谍软件程序,这种恶意代码可以嵌入一个无害的应用程序。 其次,攻击者必须拥有可以分析 GPU 内存分配机制的机器学习方法。然后,间谍软件和机器学习程序才可以利用现有的图形 API(如 OpenGL 或 WebGL)发起攻击。 换言之,一旦用户打开了恶意应用程序,它就会调用 API 来分析 GPU 正在呈现的内容(比如网页信息)。GPU 的存储器和性能计数器被其所监视,并馈送给机器学习算法,以解释数据和创建的指纹。 加州大学河滨分校指出,鉴于渲染对象数量和尺寸的不同,每个网站在 GPU 内存利用率方面都会留下独特的痕迹。在多次加载同一个网站时,这个信号的样式几乎时一致的,而且不受缓存的影响。 研究人员称,通过这种‘网站指纹识别方法’,他们已经能够实现很高的识别准确率。借助这项技术,黑客可监控受害者的所有网络活动。 研究配图:旁路攻击解析 更糟糕的是,这一漏洞还允许攻击者从 GPU 数据中提取密码。 当用户键入密码字符时,整个文本框会被发送到 GPU 进行渲染。每一次的击键,都会发生这样的数据传递。 如此一来,凭借完善的密码学习技术,只需监控 GPU 内存中持续的分配事件、并参考间隔时间,理论上攻击者就可以做到这点。 论文中描述的第三种技术(攻击基于云端的应用程序),则比上述两种方法要复杂一些。攻击者可以在 GPU 上启动恶意的计算型工作负载,与受害者的应用程序一起运行。 根据神经网络的参数、缓存、内存、以及功能单元上(随时间而不同的)争用强度和模式,可以产生可测量的信息泄露。 攻击者在性能计数器的追踪上使用了基于机器学习的分类,以此提取受害者的私密神经网络结构,如深层神经网络特定层中的神经元数量。 万幸的是,在团队向 Nvidia 通报了他们的研究结果后,该公司表示将向系统管理员推出一个补丁,以便他们可以禁止从用户级进程访问性能计数器。 同时,研究团队还向 AMD 和英特尔安全团队通报了同样的事情,以便它们评估这些漏洞是否会在自家产品上被利用。 稿源:cnBeta,封面源自网络;
英特尔发布新技术,利用内置 GPU 扫描恶意程序
英特尔昨天在 RSA 2018 安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示,这项新功能让杀毒引擎减少 CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式 GPU 还会节省电池寿命。 给杀软跑分 目前,所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。 “英特尔测试系统跑分显示,CPU 利用率从 20% 下降到仅 2% ,”英特尔副总裁 Rick Echevarria 在新闻稿中提到。 Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP),已经使用该功能。 其他英特尔安全功能 除了加速内存扫描外,英特尔还在昨天的 RSA 活动上推出了另外两项新技术。 一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。 二是 Intel Security Essentials,它是一系列可信根硬件安全功能的集合,部署在英特尔的 Core,Xeon 和 Atom 处理器系列中。 “这些功能是用于安全启动、硬件保护(用于数据,密钥和其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序,”Echevarria 说。 尽管没有透露任何其他细节,英特尔表示,Security Essentials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。 稿源:freebuf,封面源自网络;
Spectre(幽灵)漏洞也影响 GPU ,英伟达发布补丁程序
英伟达 (Nvidia ) 今日也针对 “ 幽灵 ”( Spectre ) 漏洞发布了补丁程序,意味着该芯片组漏洞不仅影响 CPU,同时也影响 GPU (图形处理器)。安全研究人员上周发现了两个芯片组漏洞,分别为 “ 熔断 ” ( Meltdown )和 “ 幽灵 ” ( Spectre ),允许黑客在计算机、手机和云服务器等多种设备上盗取密码或密钥。 英特尔已经表示,其处理器产品同时受 “ 熔断 ” 和 “ 幽灵 ” 两个漏洞的影响,而 AMD、ARM 和英伟达的产品仅受 “ 幽灵 ” 漏洞的影响。 英伟达今日称,其 GeForce、Tesla、Grid、NVS 和 Quadro 系列产品受 “ 幽灵 ” 漏洞的影响。 本周一,苹果公司已经针对 “幽灵” 漏洞发布了多个补丁包,分别囊括了 iOS、macOS 操作系统,以及 Safari 网络浏览器。苹果还表示,到目前为止其用户尚未受到这两个漏洞的影响,尚未有黑客利用漏洞发起攻击。 周二,微软也发布了相应的补丁程序。微软同时指出,补丁程序能降低部分 PC 和服务器的运行速度,配备英特尔旧款芯片的系统性能会有明显下降。 而英特尔表示,已为过去 5 年制造的绝大多数处理器发布了补丁,且更多的更新将会陆续发布。英特尔还强调,尚未发现有黑客利用这些漏洞获取用户数据。 稿源:cnBeta、,稿件以及封面源自网络;