Crypto-Analysis dos logs do keylogger e arquivo de configuração. Possível?

2

Existe alguma maneira de quebrar a criptografia em um arquivo não identificado? Os arquivos em questão são os arquivos de configuração e log do Ardamax keylogger. Esses arquivos datam de 2008.

Eu procurei em todos os lugares, nada no slashdot, nada no google. Ardamax Keyviewer? Devo apenas escrever para o Ardamax? Estou sem saber o que fazer. Eu me sinto comprometida. Alguém já conseguiu descriptografar arquivos como este com criptoanálise?

Mais informações:

Existem arquivos de log na pasta e um arquivo de configuração, "akv.cfg". É possível descriptografar os arquivos e talvez obter o endereço de e-mail do invasor usado para receber os registros do keylogger?

Eu verifiquei o ardamax.com. Eles têm um visualizador de log integrado, mas não está disponível para download. Se o superusuário não for o lugar adequado para perguntar, saiba onde posso conseguir ajuda?

    
por lost. 04.04.2010 / 15:56

2 respostas

1

Se o keylogger criptografar os dados, provavelmente a chave de criptografia será armazenada localmente. Supondo um algoritmo simétrico, se você puder encontrar a chave, poderá descriptografar o arquivo. Se o criador de logs estiver usando um algoritmo de criptografia assimétrica, descubra que a chave de criptografia não informa nada. Eu apostaria na criptografia sendo simétrica, porque assimétrico leva muito mais CPU.

Se puder, observe qual atividade do sistema acontece quando o keylogger é iniciado. No Windows, por exemplo, monitore as leituras do registro, as leituras do sistema de arquivos e assim por diante. A chave pode ser armazenada dentro do arquivo de programa, e se sim, você terá um desafio interessante para descobrir a chave. Se você quiser encontrar o invasor, deixe o criador de logs iniciar e observe o tráfego da rede. Eu aposto que não importa como o programa telefona para casa, esse telefone será algum tipo de queda anônima. Mas você nunca sabe, você pode ter sorte!

    
por 04.04.2010 / 21:38
1

Eu capturaria o Live RAM quando você sabe que o keylogger está rodando e usa a volatilidade para procurar a chave de criptografia.

Depois de verificar o google, encontrei:

Site: link

What about the encrypted configuration file?

We have seen some people infected by this keylogger wondering how to decrypt the file to see where is the malware leaking information to. Well, if you can not do memory analysis or some debugging it is quite easy to decrypt.

After a quick cryptanalysis of the file, it is quite obvious that it is encrypted with XOR cipher or something similar. You can easily decrypt it by using a XOR analysis tool like xortool. Let’s give a try:

$ python xortool.py -b keylogger/RKJ.00

xortool will generate some output files with possible decryptions. In this case the 33rd file was the good shot, encrypted with key “Z|NY”. If we open it with an editor, we can see all configuration parameters and reporting credentials in plain text.

Take care of the channels you allow on your network! We have seen how Google do a great job on cancelling accounts of this kind, but we should never have a blind faith on a legit connection because it could be a potential way to leak private information to the outside. - See more at: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax#sthash.ixStEibe.dpuf

    
por 03.10.2014 / 15:51