Крипто-анализ логов кейлоггера и файла конфигурации. Возможный?

2401
lost.

Есть ли способ сломать шифрование на неопознанном файле? Речь идет о файлах конфигурации и журналов из кейлоггера Ardamax. Эти файлы датируются 2008 годом.

Я искал везде, ничего на Slashdot, ничего на Google. Ardamax Keyviewer? Должен ли я просто написать в Ardamax? Я в недоумении, что делать. Я чувствую себя скомпрометированным. Кому-нибудь удалось расшифровать такие файлы с помощью криптоанализа?

Дополнительная информация:

В папке находятся файлы журнала и файл конфигурации "akv.cfg". Можно ли расшифровать файлы и, возможно, получить адрес электронной почты злоумышленников, используемый для получения журналов кейлоггера?

Я проверил ardamax.com. У них есть встроенная программа просмотра журнала, но она недоступна для скачивания. Если суперпользователь не подходит для того, чтобы спросить, знаете, где я могу получить помощь?

2

2 ответа на вопрос

1
Fred

Если кейлоггер зашифровал данные, вероятно, ключ шифрования будет храниться локально. Предполагая симметричный алгоритм, если вы можете найти ключ, вы можете расшифровать файл. Если регистратор использует алгоритм асимметричного шифрования, найдите ключ шифрования, который вам ничего не говорит. Я бы поспорил на то, что шифрование будет симметричным, потому что асимметричное требует гораздо больше ресурсов процессора.

Если можете, посмотрите, какая системная активность происходит при запуске кейлоггера. Например, в Windows отслеживайте чтение реестра, чтение файловой системы и т. Д. Ключ может храниться в файле программы, и если это так, то вам будет интересно выяснить ключ. Если вы хотите найти злоумышленника, дайте регистратору запуститься и наблюдайте за сетевым трафиком. Держу пари, независимо от того, как программа звонит домой, этот телефон будет своего рода анонимным дропом. Но вы никогда не знаете, вам может повезти!

1
Chris

I would capture the Live RAM when you know the keylogger is running and use volatility to search for the encryption key.

After checking google, I found:

Site: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax

What about the encrypted configuration file?

We have seen some people infected by this keylogger wondering how to decrypt the file to see where is the malware leaking information to. Well, if you can not do memory analysis or some debugging it is quite easy to decrypt.

After a quick cryptanalysis of the file, it is quite obvious that it is encrypted with XOR cipher or something similar. You can easily decrypt it by using a XOR analysis tool like xortool. Let’s give a try:

$ python xortool.py -b keylogger/RKJ.00

xortool will generate some output files with possible decryptions. In this case the 33rd file was the good shot, encrypted with key “Z|NY”. If we open it with an editor, we can see all configuration parameters and reporting credentials in plain text.

Take care of the channels you allow on your network! We have seen how Google do a great job on cancelling accounts of this kind, but we should never have a blind faith on a legit connection because it could be a potential way to leak private information to the outside. - See more at: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax#sthash.ixStEibe.dpuf

Похожие вопросы