一、Passwordstate加密漏洞的技术性揭露
1、漏洞发现与逆向工程
勒索者通过渗透某企业服务器发现Passwordstate(版本9858,2024年3月发布)的口令存储数据库,其加密机制存在严重缺陷。尽管厂商宣称使用“256位AES加密”并修补历史漏洞(如2021年8月版本9300强化混淆技术),但攻击者通过逆向工程发现:
加密密钥生成依赖四组密钥碎片(Secret1-4),分别存储于数据库(Secret3、Secret4)和配置文件(Secret1、Secret2)。
真实密钥由HMAC-SHA256算法结合EncryptionKey(Secret1+Secret3)与HMACKey(Secret2+Secret4)动态生成,但密钥组合逻辑存在设计缺陷。
软件使用Agile.NET进行代码混淆,但勒索者通过动态加载DLL反射调用关键方法(如xUI=.Xy0=),成功绕过混淆并提取密钥生成逻辑。
2、自动化解密工具开发
攻击者开发工具实现全流程解密:
加载Passwordstate.dll,反射获取混淆类(zkI=、xUI=)及方法。
拼接密钥碎片并调用HMAC-SHA256生成真实密钥。
支持测试模式(单条解密)与批量模式(解析CSV文件解密全部口令)。
攻击者自称“非专业程序员”,仅用5小时完成破解,直指Passwordstate安全架构“极其脆弱”,讽刺其“企业级安全”宣传名不副实。
二、数据窃取与勒索威胁
1、攻击实施与数据规模
勒索者在某次行动中入侵一家使用Passwordstate的IT公司,窃取其自身及客户口令数据,总量超13TB。其声称若目标公司未及时联系,将公开全部数据,暗示数据敏感性与潜在破坏力。
2、对PRODAFT的挑衅回应
针对网络安全公司PRODAFT的质疑,勒索者否认针对Passwordstate厂商(Click Studios),强调行动仅揭露产品缺陷,并批评PRODAFT“如小报般曲解信息”。回应中混杂技术挑衅与人身攻击:
指责PRODAFT“过度 proactive”,建议其“少刷社交媒体,多阅读纸质书”。
威胁升级为数据公开,进一步施压目标企业。
三、事件性质与行业警示
1、安全与商业伦理争议
厂商责任:Passwordstate加密设计暴露密钥管理不当、混淆技术易被绕过,凸显企业级安全产品需接受更严格代码审计。
勒索者动机:事件兼具技术炫耀、商业勒索与行业监督色彩,攻击者以“漏洞披露”包装非法行为,引发伦理争议。
2、行业影响
企业需重新评估口令管理方案的安全性,尤其依赖闭源且加密逻辑不透明的产品风险极高。
事件反映勒索组织技术能力升级,传统“合规性安全”难以应对定向渗透,主动防御与零信任架构需求迫切。
此事件既是Passwordstate的技术信任危机,亦为全球企业敲响警钟:在AI与自动化攻击时代,口令管理系统的安全性直接关乎企业生存,而“安全通过 obscurity”(依赖不透明性)的策略已彻底失效。
延伸阅读
1、关于PRODAFT公司
PRODAFT是一家领先的威胁情报公司,十多年来一直专注于网络威胁预测技术的前沿研究。该公司长期为私营和公共部门的组织提供支持,这些组织往往因资源不足、缺乏专业团队、解决方案不适用或过于复杂、应对能力不足或缺乏安全意识而面临网络风险。PRODAFT致力于提供可操作、经过验证且与客户业务高度相关的情报驱动洞察,避免提供未经处理的数据,而是专注于提供能够塑造未来网络弹性的情境化发现。
2、关于Passwordstate软件
Passwordstate是一款由Click Studios开发的口令管理软件,旨在帮助企业和个人安全地存储、管理和共享口令及其他敏感信息。它提供集中化的口令管理解决方案,支持多用户协作,并允许管理员设置权限和访问控制。Passwordstate采用AES-256加密技术保护数据,支持自动口令生成、口令更新提醒和审计日志功能。此外,它还提供浏览器扩展、移动应用和API集成,方便用户在不同设备上访问口令。
参考资源
1、https://cybersecuritynews.com/secp0-ransomware-threatens-organizations/
2、https://www.clickstudios.com.au/about/secure-code-data.aspx
3、http://secponewsxgrlnirowclps2kllzaotaf5w2bsvktdnz4qhjr2jnwvvyd.onion/
原文始发于微信公众号(网空闲话plus):勒索软件组织嘲讽安全公司:揭露Passwordstate口令管理器漏洞并威胁泄露客户数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论