2

Есть ли способ сломать шифрование на неопознанном файле? Речь идет о файлах конфигурации и журналов из кейлоггера Ardamax. Эти файлы датируются 2008 годом.

Я искал везде, ничего на Slashdot, ничего на Google. Ardamax Keyviewer? Должен ли я просто написать в Ardamax? Я в недоумении, что делать. Я чувствую себя скомпрометированным. Кому-нибудь удалось расшифровать такие файлы с помощью криптоанализа?

Дополнительная информация:

В папке находятся файлы журнала и файл конфигурации "akv.cfg". Можно ли расшифровать файлы и, возможно, получить адрес электронной почты злоумышленников, используемый для получения журналов кейлоггера?

Я проверил ardamax.com. У них есть встроенная программа просмотра журнала, но она недоступна для скачивания. Если суперпользователь не подходит для того, чтобы спросить, знаете, где я могу получить помощь?

2 ответа2

1

Я бы захватил оперативную память, когда вы знаете, что кейлоггер работает, и использовал волатильность для поиска ключа шифрования.

После проверки Google, я нашел:

Сайт: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax

Как насчет зашифрованного файла конфигурации?

Мы видели, как некоторые люди, зараженные этим кейлоггером, задались вопросом, как расшифровать файл, чтобы узнать, куда попадает вредоносная информация. Что ж, если вы не можете выполнить анализ памяти или отладку, это довольно легко расшифровать.

После быстрого криптоанализа файла становится совершенно очевидно, что он зашифрован с помощью шифра XOR или чего-то подобного. Вы можете легко расшифровать его, используя инструмент анализа XOR, такой как xortool. Давайте попробуем:

$ python xortool.py -b keylogger/RKJ.00

xortool сгенерирует несколько выходных файлов с возможными расшифровками. В этом случае 33-й файл был удачным выстрелом, зашифрованным ключом «Z | NY». Если мы откроем его в редакторе, мы сможем увидеть все параметры конфигурации и учетные данные в виде простого текста.

Заботьтесь о каналах, которые вы разрешаете в своей сети! Мы видели, как Google отлично справляется с аннулированием учетных записей такого рода, но мы никогда не должны слепо верить в законное соединение, поскольку это может стать потенциальным способом утечки частной информации извне. - Подробнее см .: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax. # sthash.ixStEibe.dpuf

1

Если кейлоггер зашифровал данные, вероятно, ключ шифрования будет храниться локально. Предполагая симметричный алгоритм, если вы можете найти ключ, вы можете расшифровать файл. Если регистратор использует алгоритм асимметричного шифрования, найдите ключ шифрования, который вам ничего не говорит. Я бы поспорил на то, что шифрование будет симметричным, потому что асимметричное требует гораздо больше ресурсов процессора.

Если можете, посмотрите, какая системная активность происходит при запуске кейлоггера. Например, в Windows отслеживайте чтение реестра, чтение файловой системы и т.д. Ключ может храниться в файле программы, и если это так, то вам будет интересно выяснить ключ. Если вы хотите найти злоумышленника, дайте регистратору запуститься и наблюдайте за сетевым трафиком. Держу пари, независимо от того, как программа звонит домой, этот телефон будет своего рода анонимным дропом. Но вы никогда не знаете, вам может повезти!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .