Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 [email protected] —› Крэки, обсуждения —› Запросы на исследование вирусов
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.




Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 15:44 · Поправил: kunix
· Личное сообщение · #2

_MBK_, Понимаете, у меня нет цели вам что-то доказать. Я и так многовато времени на этот тред потратил. Хотите хамить - флаг в руки, я просто отмолчусь.




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 15:46 · Поправил: BlackCode
· Личное сообщение · #3

kunix пишет:
Вы взяли AES-NI. Мы вроде договаривались его не брать, т.к. он может быть недоступен.

Ок. Значит скорость будет ниже.
На файлах большего объема время шифрования AES будет доминировать.
Здрасте, так в вирусе AES и используется для шифрования файлов неизвестного размера. (ведь размер может быть разным!)
А RSA в данном случае шифрует один блок размером 128 байт и все!
Зачем использовать 2048 бит или 256 байт, если шифруемая инфа (ключ+вектор == 32+16 == 48 байт).
kunix пишет:
Хотите хамить - флаг в руки, я просто отмолчусь.

Девочки не ссорьтесь



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 15:51
· Личное сообщение · #4

Помилуйте, и в мыслях не было вам хамить! Просто чисто с профессиональной точки зрения интересно с чего начнет человек просто так готовый ринуться в атаку на RSA1024+AES256
Кстати мне например другое интересно - а зачем там вообще RSA если файл на сервер для расшифровки отсылается? Могли б вообще ничего в конец не писать ;)



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 15:53
· Личное сообщение · #5

> Здрасте, так в вирусе AES и используется для шифрования файлов неизвестного размера. (ведь размер может быть разным!)
Ну хорошо, какой у нас там типичный размер базы данных или DOC файла или XLS таблицы или чего там еще офисный планктон у себя на компе держит?

> Зачем использовать 2048 бит или 256 байт, если шифруемая инфа (ключ+вектор == 32+16 == 48 байт).
Затем, что гипотетически, RSA1024 не очень надежен.
Я посчтитал для RSA2048 и вроде как вполне убедительно показал, что при типичных условиях время шифрования RSA не является доминирующим в операции шифрования файла.
Значит можно взять RSA2048 вместо RSA1024 и не ебать себе мозги.




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 15:56 · Поправил: BlackCode
· Личное сообщение · #6

_MBK_ пишет:
зачем там вообще RSA если файл на сервер для расшифровки отсылается?

Возможно разраб наивно предполагал, что ключ от любого другого алгоритма можно тупо сбрутить?
И накроется его бизнес
kunix пишет:
Значит можно взять RSA2048 вместо RSA1024 и не ебать себе мозги.

Так себе мотивация



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 16:04 · Поправил: _MBK_
· Личное сообщение · #7

kunix пишет:
Затем, что гипотетически, RSA1024 не очень надежен.

Затем что не имеет смысла шифровать короткий ключ более длинным - это бутылочное горлышко алгоритма
Странно что вы этого не понимаете
BlackCode пишет:
Возможно разраб наивно предполагал, что ключ от любого другого алгоритма можно тупо сбрутить?

Не, я не про то. Зачем вообще ключи в файле хранить? Без них файл это просто бесполезный кусок свопа на который максимум knowntextattaсk натравить можно
Или я туплю или разработчик вируса



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:07
· Личное сообщение · #8

> Просто чисто с профессиональной точки зрения интересно с чего начнет человек просто так готовый ринуться в атаку на RSA1024+AES256
А с чего вы взяли, что я полезу в атаку на RSA1024+AES256?
Что вообще за привычка всех тупыми считать по умолчанию и хамить?
Я в первую очередь проверю, как генерится ключ AES, и сколько там реально бит энтропии.
Потом проверю что-нибудь с RSA, типа не будет ли такое, что e=3 и M с неверным паддингом, поэтому M^e (mod N) сводится просто к M^e.
Потом посмотрю атаки на слабые модули RSA, потом может гляну ту хрень сертификатами, где ключи повторялись множители N=PQ из-за генераторов.
Потом отрапортую, что нишмагла с чистой совестью.




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 16:08
· Личное сообщение · #9

_MBK_ пишет:
Или я туплю или разработчик вируса

Скорее последний.
Думаю, что разраб не шибко искушен в криптографии, а посему сделал т.к. ему посоветовали.



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:10 · Поправил: kunix
· Личное сообщение · #10

> Затем что не имеет смысла шифровать короткий ключ более длинным - это бутылочное горлышко алгоритма
Чувак, я ж думал, что ты хоть немного шаришь. А тут такое разочарование...
Длина ключа RSA и длина ключа AES - это две разные длины ключей с точки зрения безопасности.
На, почитай https://en.wikipedia.org/wiki/Security_level
Security level is usually expressed in "bits", where n-bit security means that the attacker would have to perform 2^n operations to break it.
For example, AES-128 (key size 128 bits) is designed to offer a 128-bit security level, which is considered roughly equivalent to 3072-bit RSA.




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 16:11
· Личное сообщение · #11

kunix пишет:
Потом отрапортую, что нишмагла с чистой совестью.

Это с вероятностью 99.9%



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 16:15 · Поправил: _MBK_
· Личное сообщение · #12

BlackCode пишет:
Скорее последний.

Тогда именно это (а не использование RSA1024) внушает топикстартеру небольшую надежду
Но я бы сильно не стал на нее уповать,если автор вируса просто тупо пользовал стандартные модули, то скорее всего они свободны от вышеперечисленных уязвимостей

Добавлено спустя 2 минуты
kunix пишет:
128-bit security level, which is considered roughly equivalent to 3072-bit RSA.

Ключевое слово roughly
Эти вещи нельзя просто так взять и сравнивать в одних единицах. Это все равно как делать ставки на борьбу слона и кита
Просто атака на AES сложнее атаки на RSA и условно полагают что ее сложность можно оценивать так
Но тем не менее 128 битный ключ шифровать 3072битным RSA глуповато



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:22 · Поправил: kunix
· Личное сообщение · #13

> Затем что не имеет смысла шифровать короткий ключ более длинным - это бутылочное горлышко алгоритма
> Ключевое слово roughly
Но ты сказал полную хуйню, просто признай это.
Если понимать твою фразу буквально, то выходит, что можно использовать 256-битный RSA и не париться.

> Не, я не про то. Зачем вообще ключи в файле хранить? Без них файл это просто бесполезный кусок свопа на который максимум knowntextattaсk натравить можно
Затем, что используется асимметричная криптграфия.
Зашифровать секретный ключ AES может кто угодно, т.к. для этого нужно знать публичный ключ RSA, который встроен в мальварь. Его можно извлечь.
А расшифровать и извлечь секретный ключ AES может только обладатель приватного ключа RSA, и он возьмет за это денежку.
Плюс, малвари не нужна связь с сервером для работы.
Вполне хорошо сделано, в организационном плане.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 16:29
· Личное сообщение · #14

Мне всегда странно как люди сразу после обвинений оппонента в хамстве тут же переходят к оскорблениям сами
Мы только что выпили с Вами на брудершафт, полагаю?
kunix пишет:
Если понимать твою фразу буквально, то выходит, что можно использовать 256-битный RSA и не париться.

Если понимать мою фразу буквально, то незачем было вообще ключи в файле хранить, ни 256 ни 1024 ибо это самое слабое место алгоритма
А 256 битный ключ RSA это фактически на блюдечке AES
Смысл моей фразы так возбудившей Вас - RSA2048 которым зашифрован ключ AES практически не криптоустойчивее RSA1024 зато сильно медленнее



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:31 · Поправил: kunix
· Личное сообщение · #15

> Мне всегда странно как люди сразу после обвинений оппонента в хамстве тут же переходят к оскорблениям сами
Ты хамишь мне => я хамлю тебе. Это справедливо.

> Смысл моей фразы так возбудившей Вас - RSA2048 которым зашифрован ключ AES практически не криптоустойчивее RSA1024 зато сильно медленнее
Смысл твоей фразы в том, что ты не настолько спец в крипто, чтобы кому-то тут хамить.




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 16:35 · Поправил: BlackCode
· Личное сообщение · #16

kunix пишет:
Плюс, малвари не нужна связь с сервером для работы.

BlackCode пишет:
При расшифровке, зашифрованный файл передается на сервер и там расшифровывается(дабы нельзя было бы перехватить приватную экспоненту), присылается обратно и перезаписывает зашифрованный файл.


kunix пишет:
Ты хамишь мне => я хамлю тебе. Это справедливо.

Это моветон



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:36 · Поправил: kunix
· Личное сообщение · #17

BlackCode, ПРИ ШИФРОВАНИИ малвари не нужна связь с сервером. Когда уже все пошифровано - спешить некуда. Лох сам интернет подключит. Нормально же?
Если не использоват асимметрию, то нужно ключ AES, которым файл пошифрован, успеть отправить на сервер.
Иначе нельзя будет расшифровать вообще и лох не заплатит. Логично же?



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 16:38
· Личное сообщение · #18

Молодой человек, хамите тут именно Вы, я например, разговариваю с Вами предельно вежливо а от Вас в ответ слышу "хамишь", "хуйня"
Между тем несмотря на все процитированные источники, Вы с самого начала говорили очень забавные вещи и даже сейчас не понимаете сути того что я сказал несколько постов назад. Вот BlackCode сразу понял, а Вы, похоже, считаете что если ключ AES пошифровать как можно большим количеством бит RSA и выложить в открытый доступ то боги криптографии сделают его неуязвимым?



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:39 · Поправил: kunix
· Личное сообщение · #19

> Это моветон
Моветон или нет, но у меня есть такое право, хамить (или делать другие эквивалентные действия) в ответ.

> Вот BlackCode сразу понял, а Вы, похоже, считаете что если ключ AES пошифровать как можно большим количеством бит RSA и выложить в открытый доступ то боги криптографии сделают его неуязвимым
Нууу.. эммм... как-бы это помягче выразиться. Вообще-то да!
Если взять
1) Ключ AES с достаточным числом бит энтропии, чтобы его нельзя было угадать.
2) Взять публичный ключ RSA c достаточным числом бит и без уязвимостей (ключи RSA бывают плохими и даже очень плохими).
3) Взять хороший паддинг для RSA (паддинги бывают плохими).
4) Все это перемешать. То есть, зашифровать ключ AES с данным паддингом с помощью публичного ключа RSA.
5) Выложить зашифрованное в открытый доступ.
То данный ключ AES никто не узнает, кроме обладателя приватного ключа RSA.
В этом суть асимметричного шифрования и отличие от симметричного.

_MBK_, Короче, с вами уже все предельно ясно. Вы свой уровень всем продемонстрировали.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 16:46
· Личное сообщение · #20

Ну хорошо, допустим вариант 1) таки туплю именно я
Тогда объясните мне,тупому, какой сакральной необходимостью вы с гипотетическим автором вируса объясняете сакральную необходимость обязательного нахождения ключа в файле даже пошифрованного RSA?




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 28 января 2020 16:54
· Личное сообщение · #21

kunix пишет:
Моветон или нет, но у меня есть такое право, хамить (или делать другие эквивалентные действия) в ответ.

Права ваши никто не умаляет. А хамить (хамить в ответ) или нет, это уже вопрос наличия воспитания
--> 8 способов ответить на хамство, не опустившись до уровня грубияна <--



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 16:57
· Личное сообщение · #22

> Права ваши никто не умаляет.
Вот и замечательно!

Добавлено спустя 29 минут
> Тогда объясните мне,тупому, какой сакральной необходимостью вы с гипотетическим автором вируса объясняете сакральную необходимость обязательного нахождения ключа в файле даже пошифрованного RSA?
А как, простите, файл расшифровать, когда лох денюжку принесет?
Если файлы просто делать мусором, то лохи об этом быстро узнают из интернетов и не понесут денюжку.
Значит, ключ AES должен быть доступен автору малвари.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 17:56
· Личное сообщение · #23

kunix пишет:
А как, простите, файл расшифровать, когда лох денюжку принесет?

Напоминаю - файл для расшифровки отсылается на сервер, где ключ вполне себе имеется



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 18:04 · Поправил: kunix
· Личное сообщение · #24

> Напоминаю - файл для расшифровки отсылается на сервер, где ключ вполне себе имеется

А откуда он там возьмется?

1) Ключ AES должен генериться при шифровании случайным образом. В этом вся суть, чтобы ключ никто не знал. Если ключ AES зашить в мальварь, то его достанет BlackCode и все пропало.
2) Ключ AES должен быть уникальный для каждого файла. Если ключ AES один на все файлы, то можно будет сдампить работающий процесс малвари и достать ключ.
3) Ключи AES не отсылаются на сверер, т.к. при длительном шифровании может не быть интернета. Отсюда вывод, что ключи AES надо записать в файл. Для этого RSA.

Логично звучит?
Это то, что я понял по словам BlackCode и из моих данных.

Если же ключ AES при шифровании отсылается на сервер, то это другая мальварь какая-то. Тогда не нужен никакой RSA. Но менее надежно.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 18:13
· Личное сообщение · #25

Вы же сами только что написали
kunix пишет:
Если не использоват асимметрию, то нужно ключ AES, которым файл пошифрован, успеть отправить на сервер.

и сами потом говорите что времени для этого предостаточно
В конце концов ключ может генерироваться на сервере изначально причем для каждой копии по своему и в момент активации удаляться и тогда все ваши исследования его рандомности совсем бессмысленны были бы
Если подумать хорошо, то можно было бы гораздо более надежно придумать



Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 18:16 · Поправил: kunix
· Личное сообщение · #26

> и сами потом говорите что времени для этого предостаточно
И где я это сказал?
Я как раз пишу, что шифрование может длиться сутками. И нет гарантии постоянной связи с сервером.
Более того, если дергать сервер для каждого файла, это подозрительная сетевая активность. Файлов бывает много.

> Если подумать хорошо, то можно было бы гораздо более надежно придумать
Схема AES + RSA практически идеальна, если реализована грамотно.
Куда уж лучше.
Можно делать вирус, который распространяется вообще сам и без доступа в интернет. Хотя обычно Dharma через уязвимости RDP ставили вроде.
Также нет серверов, которые хранят секретные данные.
А если к тебе приехал пативен, можно слить приватный RSA ключ в качестве сделки с правосудием.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 19:03
· Личное сообщение · #27

kunix пишет:
И где я это сказал?

kunix пишет:
Когда уже все пошифровано - спешить некуда.


kunix пишет:
Также нет серверов, которые хранят секретные данные.

Приватный то RSA все равно хранится а это фактически то же самое

kunix пишет:
Более того, если дергать сервер для каждого файла, это подозрительная сетевая активность. Файлов бывает много.

Вовсе необязательно дергать после каждого файла, можно порциями. В случае недошифрованных файлов в качестве бонуса можно будет восстановить несколько последних - всего то!

kunix пишет:
И нет гарантии постоянной связи с сервером.

Для шифровальщика это не проблема - при первом выходе в сеть он может передать данные
Ну и в конце концов опять же

_MBK_ пишет:
ключ может генерироваться на сервере изначально




Ранг: 71.2 (постоянный), 33thx
Активность: 0.050.12
Статус: Участник

Создано: 28 января 2020 19:11 · Поправил: kunix
· Личное сообщение · #28

> Когда уже все пошифровано - спешить некуда.
Эта фраза означает, что когда все пошифровано, надежный интернет не нужен.
Юзер сам все обеспечит, т.к. он заинтересован в расшифровке.
Такое впечателение, что вы с кем-то другим общаетесь. Недопонимание идет ппц.

> Приватный то RSA все равно хранится а это фактически то же самое.
Одно дело хранить ключ на взломанном VPS черт знает где. Другое - хранить ключ на флешке под подушкой. Ни разу не то же самое.

> Вовсе необязательно дергать после каждого файла, можно порциями. В случае недошифрованных файлов в качестве бонуса можно будет восстановить несколько последних - всего то!
> Для шифровальщика это не проблема - при первом выходе в сеть он может передать данные
Ага, и придется куда-то сохранить кеш AES ключей. Потом этот кеш не забыть затереть, чтобы никто не достал. Гемор!
А если шифровальщик будет обнаружен раньше времени, то AES ключи из кеша достанут.

Короче, схема с сервером - так себе.
Православный RSA спасет жадного любителя легких денег.



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 января 2020 19:21
· Личное сообщение · #29

Возможно, в чем то вы и правы. Во всяком случае, на вашем примере я понял логику создателя вируса.
Что ж, чтобы победить врага, надо думать как он, возможно, данный образ мысли поможет действительно вам найти какие то уязвимости в псевдослучайных алгоритмах или слабые ключи



Ранг: 4.1 (гость)
Активность: 0.16=0.16
Статус: Участник

Создано: 19 апреля 2020 23:49
· Личное сообщение · #30

1. Что делает программа?
2. При запуске программа начала выполять какие-то действия. Окон не появилось. KIS 18 распознал как вирус.
3. --> Link <--
4. Прога лежала на ЯД, ссылку кинул какой-то чел. У меня до сих пор есть оригинальная ссылка, но там архив без пароля. Отправлял год назад в лабораторию Касперского, ответили, что в базах этого нет. Наткнулся тут на тему, вспомнил, решил написать.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 09 июня 2020 10:04 · Поправил: plutos
· Личное сообщение · #31

Может у кого-нибудь есть возможность добыть samples для “Silent Night” Zloader/Zbot, которые рассматриваются в статье:

https://resources.malwarebytes.com/files/2020/05/The-Silent-Night-Zloader-Zbot_Final.pdf.

The current analysis focuses on the following samples, captured in live campaigns:
Code:
  1. loader-bot.exe :
  2. • becacb52a50004d42538cfe82c8f527f1793727c5f679f46df7f96eade272962 – loader #1 (dropped by RIG EK)
  3. • 0c1b74345e0300233db0396f78ca121e7589deda31b7bc455baa476274e3f2e5 – loader #2 (downloaded from: 45.72.3.132/web7643/test2.exe)
  4. • 3648fe001994cb9c0a6b510213c268a6bd4761a3a99f3abb2738bf84f06d11cf - loader #3 (packed, from malspam)
  5. – 3648fe001994cb9c0a6b510213c268a6bd4761a3a99f3abb2738bf84f06d11cf - loader #3 (unpacked)
  6. bot32.dll :
  7. • 6460f606f563d1fe3c74b215e1252dc7466322e4d2b55b898b9da1bd63454762 -sample #1
  8. • df60102fff5974a55fb6d5f4683f2565b347a0412492514e07be9b03c7c856b7 – sample #2
  9.  

Все ссылки в статье ведут на VirusTotal, у меня туда доступа нет, а читать статью без файлов под рукой, это как "обед по телефону", чистая абстракция.
Мой интерес академический и познавательный, так что пожалуйста, помогите, кто может.
Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.



<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
 [email protected] —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати