16 sept 2016

CryptoTrooper: ransomware con propósitos educativos para Linux

CryptoTrooper, de Maksym Zaitsev alias cryptolok, es el primer ransomware de tipo White-Box o caja blanca para Linux del mundo, con propósitos educativos.

Requiere:
  • Un SO de 32/64 bits basado en Debian con privilegios de root
  • Apache/Nginx: para el cifrado de servicios web y para cambiar la página principal
  • MySQL/PostgreSQL: para el cifrado de base de datos
  • / y /home - para el cifrado de los datos personales, excepto el directorio .ssh
Cómo funciona:
  • Infección: el servidor de la víctima es comprometido e infectado de alguna manera, obteniendo privilegios de root
  • Cifrado: el ransomware genera una clave única de cifrado simétrico y cifra los datos
  • White-Box: la criptografía de caja blanca intenta proteger la clave secreta del cifrado en un entorno en que adversario tiene acceso completo a la implementación y al entorno de ejecución. El sistema de cifrado utiliza la clave de una sola dirección y cifra la clave utilizada para el cifrado de datos
  • Descifrado: la víctima envía al atacante la clave de cifrado de caja blanca y su vector de inicialización (IV), esta clave se descifra por el atacante con su IV y la clave maestra que se utiliza para generar la clave white-box, la verdadera clave se envía a la víctima.
Pros:
  • No se requiere conexión a Internet después de la infección (ya que no se utiliza el cifrado de clave pública en ningún C&C)
  • Protección contra la extracción de clave
  • Sólo AES
  • Anti-forense
  • Generación aleatoria de claves
  • Random IV
Contras :
  • la construcción del White-Box de Chow ya está rota (no la implementación, pero si el algoritmo en sí), por lo tanto el ransomware NO PRESENTA EN ABSOLUTO UNA AMENAZA Y NO TIENE INTERÉS PARA UN FIN MALÉVOLO
  • el modo CBC no es el mejor para datos aleatorios y tampoco el más rápido
  • la clave de 128 bits de longitud debe ser más larga
  • la misma clave se utiliza para cada archivo
  • la misma clave codificada de caja blanca se utiliza para cada ejecución
  • sin ofuscación de código (a excepción de caja blanca)
Propósitos:
  • aprender implementaciones y conceptos de ransomware, con el fin de derrotarlo
  • estudio de la criptografía
  • ingeniería inversa práctica
  • estar preparado para las amenazas nuevas y avanzadas
  • demostrar el poder y el potencial del ransomware

¡No lo ejecutes en tu propio PC! USA UNA MÁQUINA VIRTUAL

Github: https://github.com/cryptolok/CryptoTrooper

Fuente: Hackplayers

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!