elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  un ransomware un poco especial
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: un ransomware un poco especial  (Leído 9,721 veces)
SOFTEL

Desconectado Desconectado

Mensajes: 3


Ver Perfil
un ransomware un poco especial
« en: 23 Enero 2015, 04:19 am »

Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware cifra [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están cifrados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta


Mod: Titulo modificado, evita usar mayúsculas para escribir


« Última modificación: 23 Enero 2015, 04:27 am por engel lex » En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: UN RANSOMWARE UN POCO ESPECIAL
« Respuesta #1 en: 23 Enero 2015, 04:31 am »

hola SOFTEL, pero con la clave pública no conseguirás nada... la llave pública, la utiliza para cifrar tus archivos... luego la llave privada (alojada en el server, por ejemplo) es la que descifra.   


En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #2 en: 23 Enero 2015, 04:38 am »

eso es cierto, pero dudo que el sistema suba su archivo, lo descifre y mande de vuelta... es posible que en ese mensaje está la llave privada para abrir el cifrado... la cosa está en conseguir la llave privada para abrir ese SSL que debe estar en su pc,  y con eso abir el paquete... pero ahí no se como
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #3 en: 23 Enero 2015, 04:52 am »

Eso puede ser. enviar un paquete de retorno que habilite el descifrado en el cliente. Pero, se presentaría un vulnerabilidad allí... (reinyección del paquete en modo local? debbuguear el ransom y ver que pasa en la pila?) no, a mi corto modo de ver, sería una mala implementación... la llave privada debería estar en el servidor y solo previo pago reenviaría los paquetes descifrados...

(pregunto desde la ignorancia... que garantías hay de haber pagado, y recuperar los archivos? o hay códigos que no se rompen?)

Mmmm... no, lo que debes ver es el cruce de paquetes confirmando la generación exitosa del par de claves... nada más. ( eso es porque por cada infección, generaría un par nuevo, sino si fuera un par genérico, con tal de tener una privada podría publicarse y dejaría de ser efectivo el ransomware... sería como el divulgar una clave simétrica).

Está realmente difícil, más si no hay mucha información al respecto :/
« Última modificación: 23 Enero 2015, 05:43 am por Gh057 » En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #4 en: 23 Enero 2015, 05:40 am »

puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...


SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
vk496

Desconectado Desconectado

Mensajes: 205


Ver Perfil
Re: Re: un ransomware un poco especial
« Respuesta #5 en: 23 Enero 2015, 11:07 am »

puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...


SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam
Claro... Hay 2 posibilidades:
-Un virus sofisticado
-Uno con la clave privada dentro del source xD

Salu2
En línea

SOFTEL

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: un ransomware un poco especial
« Respuesta #6 en: 23 Enero 2015, 13:40 pm »

Gracias a todos por sus respuestas.
Una vez que pagas al malware descarga 2 archivos "Decrypt.exe" y "secret.key". "Decrypt.exe" creo poder encontrarlo en internet y he visto videos de algunas personas que logran crear/replicar "secret.key"; de ahí viene mi duda de poder decryptar el SSl para  obtener la clave...
El malware lo pueden conseguir aqui, antes es necesario logearse: https://malwr.com/analysis/MDA0MjIzOGFiMzVkNGEzZjg3NzdlNDAxMDljMDQyYWQ/
« Última modificación: 23 Enero 2015, 14:02 pm por SOFTEL » En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #7 en: 23 Enero 2015, 14:07 pm »

no, pero si el decrypter es genuino, debe llevar ya la clave privada en él. Bueno justamente pareciera ser lo que indicas, al descargar junto con el .exe, un archivo plano. No debería haber antes conexión con el servidor por un intercambio. lo haría al inicio para comparar si hay coincidencia entre las públicas alojadas en la bd, y así usar luego la privada, si aún existiera.

(más leyendo el mensaje de inicio que es solo por un tiempo el alojamiento...)

No entiendo que quieres obtener con el ssl, te repito lo que puedes ver es algún paquete de confirmación -en donde luego comenzaría a operar en el siguiente inicio el cifrado- o bien un chequeo para saber si está tu clave pública en su bd.
Igualmente, lo usual es utilizar un proxy intermedio entre los dos host y de esa forma en un sentido la conexión va segura, y en la otra no. Si hay intercambio de credenciales, lo ves en texto plano (no vulneras el protocolo ssl)
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
SOFTEL

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: un ransomware un poco especial
« Respuesta #8 en: 23 Enero 2015, 15:29 pm »

Gh057 Decrypt.exe y secret.key se descargan una vez que se paga al malware. El archivo que la web del malware te deja decriptar gratis lo hace por Internet. Ahí es donde yo busco la clave.
En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #9 en: 23 Enero 2015, 15:59 pm »

La clave que necesitas para descifrar algo es siempre la privada (la pública, es la que compartes para que te envíen la información cifrada) La misma está en la base de datos del server... Por eso subes el archivo...

En sí lo que hace el ransom al inicio es establecer alguna clave en el registro (y alguna ubicacion asociada en el disco, supongo que aleatoriamente) para establecer la conexion al servidor... pasar los datos de tu host, seguramente una direccion de bitcoin, etc. etc., o sea, un troyano. Luego, en el server se genera el par de claves, se envía la pública a tu host -se confirman los pasos- y el ransom en el proximo inicio cifra todo lo que sea documentos, fotos etc. Y te envía el mensaje.

Lo que se me ocurre que podrías hacer es en un entorno virtual, verificar este funcionamiento; mirar  el registro del host infectado, mirar con un editor de hexa el ejecutable... ver como trabaja el bichito. y por último armar una pequeña red virtual, uno con el infectado, y con el otro generar un mitm y tratar de sacar algo en limpio con el ssltrip... saludos
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hacer un mataprocesos un poco especial
Programación Visual Basic
KXC 2 1,701 Último mensaje 28 Febrero 2006, 00:25 am
por Kizar
Ataque MitM... un poco especial... ayuda
Hacking
Marion22 7 5,294 Último mensaje 3 Marzo 2010, 18:49 pm
por Marion22
Poco a poco voy progresando en el mundo del hacking.
Hacking Wireless
alpha015 8 6,030 Último mensaje 22 Septiembre 2011, 18:45 pm
por alpha015
Necesito crear un diccionario un poco especial . ( alguien me ayuda )
Hacking Wireless
Siscu.cab 4 3,160 Último mensaje 20 Agosto 2012, 16:43 pm
por Siscu.cab
Printf un poco especial en lenguaje C « 1 2 »
Programación C/C++
DanielPy 10 4,976 Último mensaje 12 Noviembre 2013, 18:23 pm
por DanielPy
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines