Einzelnen Beitrag anzeigen

ichi

Registriert seit: 14. Okt 2012
2 Beiträge
 
#310

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Okt 2012, 02:35
N'Abend zusammen.

Zunächst einmal möchte ich allen, die sich hier mit sehr viel Zeit und Herzblut in die Trojaner-Materie einarbeiten (inbs. Marcu) einen großen Respekt aussprechen!

Ein Freund hat mir eine Festplatte mit den entsprechend verschlüsselten Daten gebracht, daher bin ich auf das Thema gestossen und habe mir gerade alle 31 Seiten durchgelesen, da mich die Geschichte ziemlich gepackt hat.

Zunächst einmal möchte ich die für meine Fragen relevanten Informationen zusammenfassen. Bitte korrigiert mich sofort, sollte ich irgendetwas missinterpretiert haben.

1. Alle zum Entschlüsseln der Dateien benötigten Informationen sind in der $02-Datei (verschlüsselt) gespeichert.
2. Die $02-Datei ist mit dem RC4-Algorithmus verschlüsselt.
3. Der Schlüssel ist lokal auf dem infizierten PC erzeugt worden und NICHT von den CC-Servern beeinflusst worden.

Was ich leider noch nicht ganz verstehe, ist folgendes:
Die Function "RDTSC" liefert einen 64Bit-Zähler der CPU-Takte zurück.
Der niederwertige Anteil steht im 32Bit-Register EAX, der höhere im 32Bit-Register EDX.
Der Programmierer des Trojaners verwendet einen 32Bit-Wert als Ausgangspunkt für die "Zufallszahl", dafür verknüpft er die beiden Register mit xor. Das hat also nichts mit Delphi zu tun, sondern ist Teil des Programmablaufs, dessen Verständnis erst eine Einschätzung der Güte des Generators ermöglicht.

Wenn die Abfrage des Generators bei der Erzeugung des Passworts nach jeder Stelle immer im selben Abstand in CPU-Takten erfolgen würde, könnte man die Anzahl der möglichen Passwörter auf einige Milliarden eingrenzen (jeweils für einen PC/CPU). Bei meinen Versuchen schwankt die Anzahl allerdings erheblich, ich sehe hier keinen Angriffspunkt.
Wenn ich das richtig verstehe, geht es doch um den SEED des Pseudozufallszahlengenerators. Seien es jetzt CPU-Taktzyklen oder die Uhrzeit, warum genau kann man diese Wert nicht auf ein paar Milliarden Möglichkeiten eingrenzen? Die Uhrzeit des Befalls zumindest kennt man doch relativ exakt. Somit könnte man doch in vernünftiger Zeit Bruteforcen.

Evtl. kann man das ganze noch mit einer plain text attack (wie Marcu auch versucht) kombinieren - hat da mal jemand die einschlägigen Papers konsultiert?

Würde mich über alle zusätzlichen Infos den kryptographischen Teil betreffend freuen!

Beste Grüße,
ichi
  Mit Zitat antworten Zitat