Как мы чуть не взломали шифровальщик Phobos с помощью CUDA / Комментарии / Хабр

rivitna 27 фев 2023 в 22:51

Занимаюсь этой тематикой, поэтому прочитал с интересом, хотя и не люблю переводные статьи. 2 года!?!? Я даже взгрустнул за коллег-поляков.

Действительно вымогатель Dharma появился достаточно давно, был еще CrySiS. Говорят, что Dharma разработали наши умельцы. Потом другие умельцы декомпилировали и стали продавать в андеграунде исходники. Так что Phobos - это, скорее, форк, чем продолжение творчества первых. Dharma/Phobos активно работают по России, суммы выкупа невысокие, если жертва решила платить, то у нас не было случаев, чтобы ее кидали с ключами. Заходят преимущественно по уязвимому RDP. Акторы и из Германии, Ирана, и еще кому, не лень.

2 года!? Конечно, редко ресерч редко заканчивается триумфальной расшифровкой, сам эпический процесс, проделанный поляками, достоин всяческого уважения. Причем без иронии. Но эти 2 года можно было потратить на дрессировку жертв, чтобы отучить их оставлять внешний RDP с паролем "123". Причем, сколько было жертв Dharma/Phobos, всегда была одна и та же история. У вас есть RDP в интернете? Да, что вы, мы так не делаем. Потом в итоге находили, и не один. Как то делали, забыли отключить, ну и т.п. Поэтому весь подвиг в мирное время сводится к исправлению чьих то косяков.

Насколько я помню в Dharma, на один логический диск/сетевой ресурс два потока, на каждый поток свой ключ AES. То есть на хост в среднем 6-10 ключей AES. Вроде нечто похожее и в Phobos.

Мне знакома ситуация, что локоток близок. Некоторые непугливые не боятся поначалу, бросаются брутить нормально сгенерированные 32-байтные ключи. Тут генерация ключа паршивая однозначно, но все равно брут практически сложно реализуем, что и требовалось доказать. Сложно осуждать коллег, но опять же 2 года это очень много, чтобы это понять. Получился пшик, но читать занятно

Некоторые моменты и выводы удивляют. Например, не понятно зачем реверсить каждый сэмпл, можно написать ярки на пейлоады Phobos, обновлять их при необходимости. Самих пейлоадов не так много в целом, да, конфиги разные у сэмплов. Да сэмплы обфусцированы, так и это не проблема. Поэтому здесь не вижу проблем автоматизировать процесс идентификации нужного пейлоада.

Комментарии 4

Koioes 26 фев 2023 в 22:35

del

paluke 27 фев 2023 в 12:35

Если вы рассчитываете получить из логов время заражения, PID и TID, то почему бы не найти там время последней перезагрузки? Это позволит приблизительно определить значение GetTickCount: «The return value is the number of milliseconds that have elapsed since the system was started.»

rivitna 28 фев 2023 в 16:25

Ссылка на оригинал статьи https://cert.pl/en/posts/2023/02/breaking-phobos/

Как по мне, лучше оригинал прочитать :-)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий