Autor
|
Tema: un ransomware un poco especial (Leído 10,507 veces)
|
SOFTEL
Desconectado
Mensajes: 3
|
Hola comunidad. Les comento mi situación...
Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware cifra [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.
Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.
Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.
Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...
Ambos paquetes están cifrados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?
Saludos y gracias. Espero su respuestaMod: Titulo modificado, evita usar mayúsculas para escribir
|
|
« Última modificación: 23 Enero 2015, 04:27 am por engel lex »
|
En línea
|
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
hola SOFTEL, pero con la clave pública no conseguirás nada... la llave pública, la utiliza para cifrar tus archivos... luego la llave privada (alojada en el server, por ejemplo) es la que descifra.
|
|
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
engel lex
|
eso es cierto, pero dudo que el sistema suba su archivo, lo descifre y mande de vuelta... es posible que en ese mensaje está la llave privada para abrir el cifrado... la cosa está en conseguir la llave privada para abrir ese SSL que debe estar en su pc, y con eso abir el paquete... pero ahí no se como
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
Eso puede ser. enviar un paquete de retorno que habilite el descifrado en el cliente. Pero, se presentaría un vulnerabilidad allí... (reinyección del paquete en modo local? debbuguear el ransom y ver que pasa en la pila?) no, a mi corto modo de ver, sería una mala implementación... la llave privada debería estar en el servidor y solo previo pago reenviaría los paquetes descifrados...
(pregunto desde la ignorancia... que garantías hay de haber pagado, y recuperar los archivos? o hay códigos que no se rompen?)
Mmmm... no, lo que debes ver es el cruce de paquetes confirmando la generación exitosa del par de claves... nada más. ( eso es porque por cada infección, generaría un par nuevo, sino si fuera un par genérico, con tal de tener una privada podría publicarse y dejaría de ser efectivo el ransomware... sería como el divulgar una clave simétrica).
Está realmente difícil, más si no hay mucha información al respecto :/
|
|
« Última modificación: 23 Enero 2015, 05:43 am por Gh057 »
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
engel lex
|
puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...
SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
vk496
Desconectado
Mensajes: 205
|
puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...
SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam
Claro... Hay 2 posibilidades: -Un virus sofisticado -Uno con la clave privada dentro del source xD Salu2
|
|
|
En línea
|
|
|
|
SOFTEL
Desconectado
Mensajes: 3
|
Gracias a todos por sus respuestas. Una vez que pagas al malware descarga 2 archivos "Decrypt.exe" y "secret.key". "Decrypt.exe" creo poder encontrarlo en internet y he visto videos de algunas personas que logran crear/replicar "secret.key"; de ahí viene mi duda de poder decryptar el SSl para obtener la clave... El malware lo pueden conseguir aqui, antes es necesario logearse: https://malwr.com/analysis/MDA0MjIzOGFiMzVkNGEzZjg3NzdlNDAxMDljMDQyYWQ/
|
|
« Última modificación: 23 Enero 2015, 14:02 pm por SOFTEL »
|
En línea
|
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
no, pero si el decrypter es genuino, debe llevar ya la clave privada en él. Bueno justamente pareciera ser lo que indicas, al descargar junto con el .exe, un archivo plano. No debería haber antes conexión con el servidor por un intercambio. lo haría al inicio para comparar si hay coincidencia entre las públicas alojadas en la bd, y así usar luego la privada, si aún existiera.
(más leyendo el mensaje de inicio que es solo por un tiempo el alojamiento...)
No entiendo que quieres obtener con el ssl, te repito lo que puedes ver es algún paquete de confirmación -en donde luego comenzaría a operar en el siguiente inicio el cifrado- o bien un chequeo para saber si está tu clave pública en su bd. Igualmente, lo usual es utilizar un proxy intermedio entre los dos host y de esa forma en un sentido la conexión va segura, y en la otra no. Si hay intercambio de credenciales, lo ves en texto plano (no vulneras el protocolo ssl)
|
|
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
SOFTEL
Desconectado
Mensajes: 3
|
Gh057 Decrypt.exe y secret.key se descargan una vez que se paga al malware. El archivo que la web del malware te deja decriptar gratis lo hace por Internet. Ahí es donde yo busco la clave.
|
|
|
En línea
|
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
La clave que necesitas para descifrar algo es siempre la privada (la pública, es la que compartes para que te envíen la información cifrada) La misma está en la base de datos del server... Por eso subes el archivo...
En sí lo que hace el ransom al inicio es establecer alguna clave en el registro (y alguna ubicacion asociada en el disco, supongo que aleatoriamente) para establecer la conexion al servidor... pasar los datos de tu host, seguramente una direccion de bitcoin, etc. etc., o sea, un troyano. Luego, en el server se genera el par de claves, se envía la pública a tu host -se confirman los pasos- y el ransom en el proximo inicio cifra todo lo que sea documentos, fotos etc. Y te envía el mensaje.
Lo que se me ocurre que podrías hacer es en un entorno virtual, verificar este funcionamiento; mirar el registro del host infectado, mirar con un editor de hexa el ejecutable... ver como trabaja el bichito. y por último armar una pequeña red virtual, uno con el infectado, y con el otro generar un mitm y tratar de sacar algo en limpio con el ssltrip... saludos
|
|
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
hacer un mataprocesos un poco especial
Programación Visual Basic
|
KXC
|
2
|
1,869
|
28 Febrero 2006, 00:25 am
por Kizar
|
|
|
Ataque MitM... un poco especial... ayuda
Hacking
|
Marion22
|
7
|
5,715
|
3 Marzo 2010, 18:49 pm
por Marion22
|
|
|
Poco a poco voy progresando en el mundo del hacking.
Hacking Wireless
|
alpha015
|
8
|
6,562
|
22 Septiembre 2011, 18:45 pm
por alpha015
|
|
|
Necesito crear un diccionario un poco especial . ( alguien me ayuda )
Hacking Wireless
|
Siscu.cab
|
4
|
3,460
|
20 Agosto 2012, 16:43 pm
por Siscu.cab
|
|
|
Printf un poco especial en lenguaje C
« 1 2 »
Programación C/C++
|
DanielPy
|
10
|
5,722
|
12 Noviembre 2013, 18:23 pm
por DanielPy
|
|