AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 31 von 34   « Erste     21293031 3233     Letzte »    
nahpets
(Gast)

n/a Beiträge
 
#301

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Aug 2012, 21:52
@Luckie
@nahpets: Danke für die Ausführungen, aber das beantwortet meine Frage irgendwie nicht.
finde ich doch, die Erstellung einer vollständigen Liste der möglichen Passwörter erscheint mir unmöglich.

Übrigens habe ich doch einen gigantischen Rechenfehler eingebaut.
Es muss nicht 61^31 heißen, sondern 31^61, das sind dann ungefähr 9,4e+90 mögliche Passwörter, also noch vielvielvielviel mehr. Das ergibt dann ungefähr so was um die 3e+74 Jahre zum durchprobieren der Passwörter, pro verschlüsselter Datei! Bei einer Normalverteilung der Passwörter dürfte sich dies allerdings halbieren.

Der erforderliche Plattenplatz für die Liste der möglichen Passwörter dürfte sich auf etwas über 3,52e+68 Yottabyte belaufen.

Bisher habe ich keine Information finden können, die eine gezielte Einschränkung dieser Passwortmenge möglich erscheinen ließe.

Zitat von Luckie:
Warum generiert ihr nicht nur mögliche Passwörter und lasst alle nicht möglichen weg?
Die Antwort auf diese Frage lautet (aus meiner heutigen Sicht) schlicht und einfach: Geht nicht, zeitlich und speicherplatztechnisch nicht realisierbar.
  Mit Zitat antworten Zitat
brick

Registriert seit: 13. Aug 2012
1 Beiträge
 
#302

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 13. Aug 2012, 23:13
Hallo zusammen,

ich bin neu hier, habe aber das Thema schon einige Zeit verfolgt.
Einen Bekannten hat es auch erwischt, aber da war der Dateiverlust nicht so schlimm.

Es wurde schon viel über die Verschlüsselung geschrieben, aber was ich noch nicht gesehen habe oder auch möglicherweise überlesen habe ist, dass der Zufallsgenerator für die Passwörter/Dateinamen nicht untersucht wurde.

Hat sich jemand mal mit dem Zufallsgenerator beschäftigt, mit dem die Dateinamen erzeugt werden bzw. die Dateien verschlüsselt werden ?
Ich vermute, dass zuerst der Dateiname und dann das Passwort erzeugt werden. Alles mit der selben Funktion.
Wenn man jetzt wüsste, wie der Generator funktioniert kann man ihn mit dem Dateinamen füttern (SOGDHHsdjsh usw.) und dann eine limitierte Anzahl von Passörtern bekommen.
Damit wäre theoretisch eine Brute-Force Attacke denkbar, die man noch erleben könnte.
Wie denkt ihr darüber ? Wäre das ein Weg ?

Viele Grüße,
Robert
  Mit Zitat antworten Zitat
Blup

Registriert seit: 7. Aug 2008
Ort: Brandenburg
1.464 Beiträge
 
Delphi 12 Athens
 
#303

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Aug 2012, 10:52
Es wurde schon viel über die Verschlüsselung geschrieben, aber was ich noch nicht gesehen habe oder auch möglicherweise überlesen habe ist, dass der Zufallsgenerator für die Passwörter/Dateinamen nicht untersucht wurde.
Das hast du überlesen, wurde weiter vorn gründlich untersucht, der Zufallsgenerator an sich ist verdammt gut.
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#304

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 25. Aug 2012, 12:35
Sorry das ich mich so extrem spät zurückmelde, habe so viel auf der Arbeit zu tun ...
habe eine neue Version "eingefangen" die hoch interessant ist: sie macht nun einiges mehr und erstellt u.a. ein Memdump und lädt ihn hoch. Wer Interesse hat, dem kann ich sie zukommen lassen.
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#305

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Aug 2012, 22:09
also ich hab immer interesse an aktueller malware
http://markusg.trojaner-board.de
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#306

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Aug 2012, 07:10
also ich hab immer interesse an aktueller malware
http://markusg.trojaner-board.de
habe ich mehrfach versucht, bekomme immer "550, relaying denied." euer server will meine mail nicht
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#307

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 31. Aug 2012, 00:48
Es geht wieder los

Habe hier einen Rechner mit neuem Verschlüsselungstrojaner, Datum vom 27.08.2012, Detection Ratio 5/42

IPs u.a.

seneesamj.com 203.91.113.6 A 92.50.171.166 A 123.101.2.10 A 195.198.124.60

LG aus Berlin

Geändert von pcnberlin (31. Aug 2012 um 01:35 Uhr) Grund: Zusatz
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#308

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 10. Sep 2012, 01:25
@Luckie
finde ich doch, die Erstellung einer vollständigen Liste der möglichen Passwörter erscheint mir unmöglich.

Übrigens habe ich doch einen gigantischen Rechenfehler eingebaut.
Es muss nicht 61^31 heißen, sondern 31^61, das sind dann ungefähr 9,4e+90 mögliche Passwörter, also noch vielvielvielviel mehr. Das ergibt dann ungefähr so was um die 3e+74 Jahre zum durchprobieren der Passwörter, pro verschlüsselter Datei! Bei einer Normalverteilung der Passwörter dürfte sich dies allerdings halbieren.
Die Rechnung ist nicht korrekt, da effektiv nur ein 128bit Schluessel verwendet wird. Im Worst Case sind das 2^128. Interessanter ist da der Einblick in die Prozessorarchitektur. Bei diversen Intelprozessoren reduziert sich die benoetigte Schluessellaenge auf unter 80bit.
Mit mehr Infos seitens Intel liesse sich das eventuell gar auf 56bit eingrenzen.

Geändert von bombinho (10. Sep 2012 um 01:31 Uhr)
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#309

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 10. Sep 2012, 16:00
Es wurde schon viel über die Verschlüsselung geschrieben, aber was ich noch nicht gesehen habe oder auch möglicherweise überlesen habe ist, dass der Zufallsgenerator für die Passwörter/Dateinamen nicht untersucht wurde.
Das hast du überlesen, wurde weiter vorn gründlich untersucht, der Zufallsgenerator an sich ist verdammt gut.
Naja, das ist theoretisch richtig. Der Zufallsgenerator an sich ist gut. Die Parametrisierung weniger. Man haelt sich nicht an die Empfehlung des Autors. Spielt aber keine so grosse Rolle, da der Trojaner unter Win32 laeuft und deswegen einfach mal noch jede Menge andere Parameter reinspielen, die das Ausnutzen dieses Faktes bisher unmoeglich gemacht haben.
  Mit Zitat antworten Zitat
ichi

Registriert seit: 14. Okt 2012
2 Beiträge
 
#310

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Okt 2012, 02:35
N'Abend zusammen.

Zunächst einmal möchte ich allen, die sich hier mit sehr viel Zeit und Herzblut in die Trojaner-Materie einarbeiten (inbs. Marcu) einen großen Respekt aussprechen!

Ein Freund hat mir eine Festplatte mit den entsprechend verschlüsselten Daten gebracht, daher bin ich auf das Thema gestossen und habe mir gerade alle 31 Seiten durchgelesen, da mich die Geschichte ziemlich gepackt hat.

Zunächst einmal möchte ich die für meine Fragen relevanten Informationen zusammenfassen. Bitte korrigiert mich sofort, sollte ich irgendetwas missinterpretiert haben.

1. Alle zum Entschlüsseln der Dateien benötigten Informationen sind in der $02-Datei (verschlüsselt) gespeichert.
2. Die $02-Datei ist mit dem RC4-Algorithmus verschlüsselt.
3. Der Schlüssel ist lokal auf dem infizierten PC erzeugt worden und NICHT von den CC-Servern beeinflusst worden.

Was ich leider noch nicht ganz verstehe, ist folgendes:
Die Function "RDTSC" liefert einen 64Bit-Zähler der CPU-Takte zurück.
Der niederwertige Anteil steht im 32Bit-Register EAX, der höhere im 32Bit-Register EDX.
Der Programmierer des Trojaners verwendet einen 32Bit-Wert als Ausgangspunkt für die "Zufallszahl", dafür verknüpft er die beiden Register mit xor. Das hat also nichts mit Delphi zu tun, sondern ist Teil des Programmablaufs, dessen Verständnis erst eine Einschätzung der Güte des Generators ermöglicht.

Wenn die Abfrage des Generators bei der Erzeugung des Passworts nach jeder Stelle immer im selben Abstand in CPU-Takten erfolgen würde, könnte man die Anzahl der möglichen Passwörter auf einige Milliarden eingrenzen (jeweils für einen PC/CPU). Bei meinen Versuchen schwankt die Anzahl allerdings erheblich, ich sehe hier keinen Angriffspunkt.
Wenn ich das richtig verstehe, geht es doch um den SEED des Pseudozufallszahlengenerators. Seien es jetzt CPU-Taktzyklen oder die Uhrzeit, warum genau kann man diese Wert nicht auf ein paar Milliarden Möglichkeiten eingrenzen? Die Uhrzeit des Befalls zumindest kennt man doch relativ exakt. Somit könnte man doch in vernünftiger Zeit Bruteforcen.

Evtl. kann man das ganze noch mit einer plain text attack (wie Marcu auch versucht) kombinieren - hat da mal jemand die einschlägigen Papers konsultiert?

Würde mich über alle zusätzlichen Infos den kryptographischen Teil betreffend freuen!

Beste Grüße,
ichi
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 31 von 34   « Erste     21293031 3233     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:21 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz