@siomi3 сен 2014 в 11:56

Как мы (почти) победили DirCrypt

5 мин

29K

Информационная безопасность * Криптография * Реверс-инжиниринг *

+38

Комментарии 16

@guestl 3 сен 2014 в 12:36

такое ощущение, что картинки пропали

@ifaustrue 3 сен 2014 в 12:46

они видимо зашифровались случайно в момент написания статьи…

@the_ghost 3 сен 2014 в 13:20

Написано же — «почти» победили.

@Iliapan 3 сен 2014 в 13:38

А нельзя было подобрать ключ, используя слепок с оригинального и зашифрованного файла? На примере тех же картинок из поставки выньды? Статья обрывается очень резко, такое ощущение, что «недокопали» чуток.

@naum 3 сен 2014 в 13:40

RSA-1024 и known-plaintext attack? вы шутите

@naum 3 сен 2014 в 13:39

Использование RSA-1024 для первых 1024 байт вас спасло и лишь от части. Встречалась хренова туча аналогов, где RSA-1024 (с больше) использовался правильно (во всех смыслах), не оставляя шансов, кроме факто… Хехе, вообще никаких шансов. Последний раз встретилась малварь ориентированная исключительно на 1С с русским, само собой, «саппортом». Просили биткоины, получили биткоины. Mission impossible при имеющемся раскладе.

@shifttstas 3 сен 2014 в 14:44

А почему не стали ломать их сервер ключей?

@mephisto 3 сен 2014 в 16:59

Уголовно наказуемое деяние, разве нет?

@shifttstas 4 сен 2014 в 14:48

Ломать сервер людей которые создают вредоносную программу?

@mephisto 4 сен 2014 в 15:14

Я конечно не юрист, но мне кажется, что взлом сервера людей, которые создают вредоносную программу — тоже уголовно наказуемое деяние.
Если конечно оно не совершено соответствующими органами.

@naum 3 сен 2014 в 17:55

Вы так говорите, как будто каждый день ломаете чьи-то сервера ключей. Должно дико фортануть, чтобы простейший сервер с ключеделкой оказался уязвимым настолько, чтобы добраться до приватного ключа.

Автор, расскажите про общение малвари с сервером. REST?

@Flemon 3 сен 2014 в 17:57

Весьма забавно.
Встречались ли еще подобные исследования с криптоляпами у малварей?

@lumag 4 сен 2014 в 06:19

Учитывая такие ляпы с RC4, можно ожидать, что и RSA сделан через Ж. Я бы проверил. не генерируется ли ключ на клиенте. И не используется ли при генерации слабый RNG.

@mibori 4 сен 2014 в 10:11

Сорри, не знаком с форматом RTF. Это получается, что каждый такой .rtf был корректен для любых редакторов и при этом содержал полезную нагрузку (зашированный файл)?

@KaneUA 4 сен 2014 в 15:09

Cкорее всего, зашифрованный файл или просто дописывался в конце, как иногда приклеивают RAR к JPG.

@Carcharodon 4 сен 2014 в 11:23

«не знаешь криптографии, не занимайся ею.» Нужно было зашифровать это на публичном ключе RSA или на ключе RC4 и отправить автору программы. Так… забавы ради :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий