Come interpretare queste istruzioni (en | de) per la crittografia? [chiuso]

-1

Ho trovato questa stringa su un forum

HVrUyitih"fZnvWxbsQXrk6a61oxEWU0TvcagVKz1RvRTBbqpmuJ6zNWp5a5
ZO_ggA1ov6exdUTNREr"A5NthZt97Im60kBHn0sXUhwfN33ce5VvRfUItQyg
yH4EeQx"pIH5I6oaaYT3"IPn4lm_EuxfWN5xoOQRdaqttqvvC4c

insieme a queste istruzioni su come è stato crittografato.

ATOM-128 --> FERON-74 --> MEGAN-35 --> REVERSE --> RC4(OLOY)

Queste istruzioni sono "sufficienti per decrittografare", quindi non sto chiedendo di "rompere la sicurezza di un sistema specifico", volevo solo capire come è stata messa insieme quella sicurezza.

    
posta user2839430 26.11.2013 - 22:55
fonte

1 risposta

4

Se conosci gli algoritmi utilizzati, basta usarli in ordine inverso.

Visto che dici

ATOM-128 --> FERON-74 --> MEGAN-35 --> REVERSE --> RC4(OLOY)

allora la risposta dovrebbe essere, "applicare decrittografia RC4 usando 0L0Y come chiave, quindi invertire l'ordine dei byte, applicare la decodifica MEGAN-35 e così via. Ci sono diversi strumenti online che forniscono la crittografia pronta all'uso e decrittografia.

Esistono anche motori di ricerca che potrebbero trovare questa pagina per te.

L'URL riportato in quella pagina è

h**p://ge.tt/api/1/files/53H5HXx/0/blob?download

quali risposte,

HTTP/1.1 307 Temporary Redirect
set-cookie: session=0!%7B%22storage%22%3A%7B%22used%22%3A0%2C%22free%22%3A250000000%2C%22extra%22%3A0%2C%22limit%22%3A250000000%7D%2C%22accesstoken%22%3A%22a.0.anon-[...]%22%2C%22unread%22%3A0%2C%22downloads%22%3A0%2C%22files%22%3A0%2C%22created%22%3A1385503952%2C%22type%22%3A%22anon%22%2C%22userid%22%3A%22anon-; path=/;
set-cookie: anon=0!%7B%22userid%22%3A%22anon-[...]; expires=Tue, 10 Dec 2013 22:11:57 GMT; path=/;
location: http://w255582.open.ge.tt/1/files/53H5HXx/0/blob?referer=&user=anon-[...]-&download=
Connection: close

Seguendo il reindirizzamento, ottengo un altro reindirizzamento

HTTP/1.1 307 Temporary Redirect
location: http://w569658.blob2.ge.tt/streams/53H5HXx/Black%20puppet%20lite.rar?sig=[...]&type=download
connection: close
transfer-encoding: chunked

che scarica qualcosa chiamato "Black Puppet Lite", un archivio RAR

 Attributes      Size    Date   Time   Name
----------- ---------  -------- -----  ----
    ..A....    494080  06-11-13 21:20  Black puppet lite/Black Puppet.exe
    ..A....     17920  15-10-13 21:06  Black puppet lite/IconChanger.dll
    ..A....    272896  25-08-13 13:23  Black puppet lite/Mono.Cecil.dll
    ...D...         0  06-11-13 21:22  Black puppet lite
----------- ---------  -------- -----  ----
               784896                  4

Il file è già stato analizzato da VirusTotal il 2013-11-23 11:42: 31, quando è stato chiamato file-6246346.exe . Il che fa tremare il mio ragno.

Un'analisi sandbox del file è qui . Apparentemente non fa nulla di male, o non fa niente troppo presto .

Le due DLL di accompagnamento (MonoCecil e IconChanger) apparentemente sono strumenti per manipolare i file eseguibili, cambiando i loro assiemi e icone - così, tra l'altro, permettendo loro di mascherarsi come qualcos'altro.

Il file è stato apparentemente sviluppato da qualcuno che si chiamava Shade , e l'eseguibile stesso ha riferimento a "Divine Miner", così come un copyright da Hewlett-Packard Company che è quasi certamente fasullo, dal momento che da nessuna parte in HP si può trovare un riferimento a burattini o minatori.

Le due parole, la sfumatura dell'articolo e i riferimenti alle funzioni crittografiche all'interno dell'eseguibile mi inducono a supporre che questa cosa sia una sorta di applicazione di burattini di schiavi bitcoin-mining.

    
risposta data 26.11.2013 - 23:35
fonte

Leggi altre domande sui tag