Вымогательское ПО RansomClave использует Intel SGX для хранения ключей шифрования

[Artifact]

Когда Intel SGX обнаруживает, что на нужный криптовалютный адрес был отправлен выкуп, ключи шифрования автоматически извлекаются.

Команда специалистов Лондонского университета разработала экспериментальный образец вымогательского ПО RansomClave, использующий для сокрытия и хранения ключей шифрования высокозащищенные анклавы Intel SGX.
«Жизненный цикл типичной атаки вымогательского ПО проходит через четыре основные фазы: инсталляция, создание уникального открытого/закрытого ключа шифрования, шифрование (с помощью симметричных ключей) и вымогательство/выпуск закрытого ключа. Для успеха операции созданный во второй фазе закрытый ключ должен надежно храниться и быть выпущен только в конце последней фазы, после уплаты жертвой выкупа», - пояснили исследователи.
В настоящее время несколько образцов вымогательского ПО генерируют и хранят ключи шифрования в недоверенных областях памяти компьютера. По завершении процесса шифрования ключи сбрасываются и после перезагрузки системы удаляются. В редких случаях жертвам может повезти, и специалистам из команд реагирования на инцидент удастся извлечь копии ключей из памяти до их удаления и восстановить зашифрованные файлы.
Команда специалистов Лондонского университета решила выяснить, может ли вымогательское ПО защитить свои ключи шифрования во время атаки с помощью доверенной среды выполнения (Trusted Execution Environment, TEE), часто использующейся в облаке.
TEE, также известные как анклавы центрального процессора, представляют собой отдельные области внутри процессора, где ОС или локальные приложения (в том числе, вымогательское ПО) могут загружать и запускать код, к которому у других процессов доступа не будет.
В ходе исследования команда разработала экспериментальное вымогательское ПО RansomClave, использующее анклавы Intel SGX для безопасного хранения ключей шифрования. Кроме того, вымогатель использует анклавы для автоматической расшифровки файлов на зараженном хосте, когда анклав обнаруживает, что на нужный криптовалютный адрес была отправлена требуемая сумма.
У специалистов не возникает сомнений, что проекты наподобие RansomClave обязательно заинтересуют кибервымогательские группировки. В связи с этим они намерены не открывать код своего вымогателя.