¿Cómo interpretar estas instrucciones de encriptación (en | de)? [cerrado]

Question

¿Cómo interpretar estas instrucciones de encriptación (en | de)? [cerrado]

#1 de LSerni (4 votos)

-1

Encontré esta cadena en un foro

HVrUyitih"fZnvWxbsQXrk6a61oxEWU0TvcagVKz1RvRTBbqpmuJ6zNWp5a5
ZO_ggA1ov6exdUTNREr"A5NthZt97Im60kBHn0sXUhwfN33ce5VvRfUItQyg
yH4EeQx"pIH5I6oaaYT3"IPn4lm_EuxfWN5xoOQRdaqttqvvC4c

junto con estas instrucciones sobre cómo se cifró.

ATOM-128 --> FERON-74 --> MEGAN-35 --> REVERSE --> RC4(OLOY)

Se dice que estas instrucciones son "suficientes para descifrar", así que no estoy pidiendo que "se rompa la seguridad de un sistema específico", solo quería entender cómo se combinó esa seguridad.

encryption

pregunta user2839430 26.11.2013 - 22:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption

Cifrado HTTPS y proxy de Internet [cerrado] ¿Existe alguna solución de hardware para IDS? [cerrado]

score 4 · Accepted Answer

Si conoce los algoritmos utilizados, solo úselos en orden inverso.

Como tú dices,

ATOM-128 --> FERON-74 --> MEGAN-35 --> REVERSE --> RC4(OLOY)

entonces la respuesta debería ser ", aplique el descifrado RC4 usando 0L0Y como clave, luego invierta el orden de los bytes, aplique el descifrado MEGAN-35, etc. Hay varias herramientas en línea que proporcionan cifrado listo para usar y descifrado.

También hay motores de búsqueda que encontrarán esta página para usted.

La URL reportada en esa página es

h**p://ge.tt/api/1/files/53H5HXx/0/blob?download

que responde,

HTTP/1.1 307 Temporary Redirect
set-cookie: session=0!%7B%22storage%22%3A%7B%22used%22%3A0%2C%22free%22%3A250000000%2C%22extra%22%3A0%2C%22limit%22%3A250000000%7D%2C%22accesstoken%22%3A%22a.0.anon-[...]%22%2C%22unread%22%3A0%2C%22downloads%22%3A0%2C%22files%22%3A0%2C%22created%22%3A1385503952%2C%22type%22%3A%22anon%22%2C%22userid%22%3A%22anon-; path=/;
set-cookie: anon=0!%7B%22userid%22%3A%22anon-[...]; expires=Tue, 10 Dec 2013 22:11:57 GMT; path=/;
location: http://w255582.open.ge.tt/1/files/53H5HXx/0/blob?referer=&user=anon-[...]-&download=
Connection: close

Al seguir la redirección, obtengo otra redirección

HTTP/1.1 307 Temporary Redirect
location: http://w569658.blob2.ge.tt/streams/53H5HXx/Black%20puppet%20lite.rar?sig=[...]&type=download
connection: close
transfer-encoding: chunked

que descarga algo llamado "Black Puppet Lite", un archivo RAR

 Attributes      Size    Date   Time   Name
----------- ---------  -------- -----  ----
    ..A....    494080  06-11-13 21:20  Black puppet lite/Black Puppet.exe
    ..A....     17920  15-10-13 21:06  Black puppet lite/IconChanger.dll
    ..A....    272896  25-08-13 13:23  Black puppet lite/Mono.Cecil.dll
    ...D...         0  06-11-13 21:22  Black puppet lite
----------- ---------  -------- -----  ----
               784896                  4

El archivo ya ha sido analizado por VirusTelication 31, cuando se llamaba file-6246346.exe . Lo que hace que mi araña sienta un hormigueo.

Un análisis de sandbox del archivo es aquí . Aparentemente no hace nada malo, o no hace nada demasiado pronto .

Las dos DLL adjuntas (MonoCecil e IconChanger) aparentemente son herramientas para manipular ejecutables, cambiando sus ensamblajes e íconos, por lo que, entre otras cosas, les permiten enmascararse como otra cosa.

Al parecer, el archivo fue desarrollado por alguien que se hacía llamar Shade , y el ejecutable mismo hace referencia a "Divine Miner", así como a los derechos de autor de Hewlett-Packard Company, que es casi seguro que son falsos, ya que en ninguna parte de HP se puede encontrar una referencia para títeres o mineros.

Las dos palabras, la sombra del artículo y las referencias a funciones criptográficas dentro del ejecutable me hacen pensar que esto es una especie de aplicación de títeres esclavos que minan Bitcoin.