siomi Sep 3 2014 at 15:56

Как мы (почти) победили DirCrypt

5 min

28K

Information Security*Cryptography*Reverse engineering*

+39

Comments 16

guestl Sep 3 2014 at 16:36

такое ощущение, что картинки пропали

ifaustrue Sep 3 2014 at 16:46

они видимо зашифровались случайно в момент написания статьи…

the_ghost Sep 3 2014 at 17:20

Написано же — «почти» победили.

Iliapan Sep 3 2014 at 17:38

А нельзя было подобрать ключ, используя слепок с оригинального и зашифрованного файла? На примере тех же картинок из поставки выньды? Статья обрывается очень резко, такое ощущение, что «недокопали» чуток.

naum Sep 3 2014 at 17:40

RSA-1024 и known-plaintext attack? вы шутите

naum Sep 3 2014 at 17:39

Использование RSA-1024 для первых 1024 байт вас спасло и лишь от части. Встречалась хренова туча аналогов, где RSA-1024 (с больше) использовался правильно (во всех смыслах), не оставляя шансов, кроме факто… Хехе, вообще никаких шансов. Последний раз встретилась малварь ориентированная исключительно на 1С с русским, само собой, «саппортом». Просили биткоины, получили биткоины. Mission impossible при имеющемся раскладе.

shifttstas Sep 3 2014 at 18:44

А почему не стали ломать их сервер ключей?

mephisto Sep 3 2014 at 20:59

Уголовно наказуемое деяние, разве нет?

shifttstas Sep 4 2014 at 18:48

Ломать сервер людей которые создают вредоносную программу?

mephisto Sep 4 2014 at 19:14

Я конечно не юрист, но мне кажется, что взлом сервера людей, которые создают вредоносную программу — тоже уголовно наказуемое деяние.
Если конечно оно не совершено соответствующими органами.

naum Sep 3 2014 at 21:55

Вы так говорите, как будто каждый день ломаете чьи-то сервера ключей. Должно дико фортануть, чтобы простейший сервер с ключеделкой оказался уязвимым настолько, чтобы добраться до приватного ключа.

Автор, расскажите про общение малвари с сервером. REST?

Flemon Sep 3 2014 at 21:57

Весьма забавно.
Встречались ли еще подобные исследования с криптоляпами у малварей?

lumag Sep 4 2014 at 10:19

Учитывая такие ляпы с RC4, можно ожидать, что и RSA сделан через Ж. Я бы проверил. не генерируется ли ключ на клиенте. И не используется ли при генерации слабый RNG.

mibori Sep 4 2014 at 14:11

Сорри, не знаком с форматом RTF. Это получается, что каждый такой .rtf был корректен для любых редакторов и при этом содержал полезную нагрузку (зашированный файл)?

KaneUA Sep 4 2014 at 19:09

Cкорее всего, зашифрованный файл или просто дописывался в конце, как иногда приклеивают RAR к JPG.

Carcharodon Sep 4 2014 at 15:23

«не знаешь криптографии, не занимайся ею.» Нужно было зашифровать это на публичном ключе RSA или на ключе RC4 и отправить автору программы. Так… забавы ради :)