Krypto-Analyse von Keylogger-Protokollen und Konfigurationsdateien. Möglich?

2653
lost.

Gibt es eine Möglichkeit, die Verschlüsselung einer nicht identifizierten Datei zu brechen? Bei den betreffenden Dateien handelt es sich um die Konfigurations- und Protokolldateien von Ardamax Keylogger. Diese Dateien stammen aus dem Jahr 2008.

Ich habe überall gesucht, nichts bei slashdot, nichts bei google. Ardamax Keyviewer? Soll ich nur an Ardamax schreiben? Ich weiß nicht, was ich tun soll. Ich fühle mich kompromittiert. Hat jemand es geschafft, solche Dateien mit der Kryptoanalyse zu entschlüsseln?

Mehr Informationen:

Es gibt Protokolldateien im Ordner und eine Konfigurationsdatei "akv.cfg". Ist es möglich, die Dateien zu entschlüsseln und möglicherweise die E-Mail-Adresse des Angreifers für den Erhalt der Keylogger-Protokolle zu erhalten?

Ich habe ardamax.com überprüft. Sie verfügen über einen integrierten Protokoll-Viewer, der jedoch nicht zum Download zur Verfügung steht. Wenn der Superuser nicht der richtige Ort für Fragen ist, wissen Sie, wo ich Hilfe bekommen kann?

2

2 Antworten auf die Frage

1
Fred

If the keylogger encrypted the data, it will likely have the encryption key stored locally. Assuming a symmetric algorithm, if you can find the key, you can decrypt the file. If the logger is using an asymmetric encryption algorithm, well, find the encryption key tells you nothing. I'd bet on the encryption being symmetric, though, because asymmetric takes a lot more CPU.

If you can, watch what system activity happens when the keylogger is started. On windows, for example, monitor the registry reads, filesystem reads, and such. The key may be stored inside the program file, and if so, then you'll have an interesting challenge to figure out the key. If you want to find the attacker, let the logger start up and watch the network traffic. I'd bet no matter how the program phones home, that phone will be some sort of anonymous drop. But you never know, you might get lucky!

1
Chris

Ich würde den Live-RAM aufzeichnen, wenn Sie wissen, dass der Keylogger läuft, und die Volatilität verwenden, um nach dem Verschlüsselungsschlüssel zu suchen.

Nachdem ich Google überprüft hatte, fand ich:

Site: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax

Was ist mit der verschlüsselten Konfigurationsdatei?

Einige Leute, die von diesem Keylogger infiziert wurden, haben sich gefragt, wie sie die Datei entschlüsseln können, um zu sehen, wo die Malware Informationen verliert. Nun, wenn Sie keine Speicheranalyse oder etwas Debugging durchführen können, ist es ziemlich einfach zu entschlüsseln.

Nach einer schnellen Verschlüsselung der Datei ist es offensichtlich, dass sie mit XOR-Verschlüsselung oder ähnlichem verschlüsselt ist. Sie können es leicht entschlüsseln, indem Sie ein XOR-Analysewerkzeug wie xortool verwenden. Lass es uns versuchen:

$ python xortool.py -b Keylogger / RKJ.00

xortool erzeugt einige Ausgabedateien mit möglichen Entschlüsselungen. In diesem Fall war die 33. Datei der gute Schuss, der mit dem Schlüssel „Z | NY“ verschlüsselt wurde. Wenn Sie es mit einem Editor öffnen, können wir alle Konfigurationsparameter und Berichtsdaten im Nur-Text-Format anzeigen.

Achten Sie auf die Kanäle, die Sie in Ihrem Netzwerk zulassen! Wir haben gesehen, wie Google eine hervorragende Arbeit bei der Kündigung von Konten dieser Art leistet, aber wir sollten niemals blind auf eine legale Verbindung vertrauen, da dies ein potenzieller Weg sein könnte, um private Informationen nach außen zu leiten. - Weitere Informationen finden Sie unter: https://www.alienvault.com/open-threat-exchange/blog/set-up-your-keylogger-to-report-by-email-bad-idea-the-case-of-ardamax # sthash.ixStEibe.dpuf