CryptoTrooper: ransomware con propósitos educativos para Linux
CryptoTrooper, de Maksym Zaitsev alias cryptolok, es el primer ransomware de tipo White-Box o caja blanca para Linux del mundo, con propósitos educativos.
Requiere:
- Un SO de 32/64 bits basado en Debian con privilegios de root
- Apache/Nginx: para el cifrado de servicios web y para cambiar la página principal
- MySQL/PostgreSQL: para el cifrado de base de datos
- / y /home – para el cifrado de los datos personales, excepto el directorio .ssh
Cómo funciona:
- Infección: el servidor de la víctima es comprometido e infectado de alguna manera, obteniendo privilegios de root
- Cifrado: el ransomware genera una clave única de cifrado simétrico y cifra los datos
- White-Box: la criptografía de caja blanca intenta proteger la clave secreta del cifrado en un entorno en que adversario tiene acceso completo a la implementación y al entorno de ejecución. El sistema de cifrado utiliza la clave de una sola dirección y cifra la clave utilizada para el cifrado de datos
- Descifrado: la víctima envía al atacante la clave de cifrado de caja blanca y su vector de inicialización (IV), esta clave se descifra por el atacante con su IV y la clave maestra que se utiliza para generar la clave white-box, la verdadera clave se envía a la víctima.
Pros:
- No se requiere conexión a Internet después de la infección (ya que no se utiliza el cifrado de clave pública en ningún C&C)
- Protección contra la extracción de clave
- Sólo AES
- Anti-forense
- Generación aleatoria de claves
- Random IV
Contras :
- la construcción del White-Box de Chow ya está rota (no la implementación, pero si el algoritmo en sí), por lo tanto el ransomware NO PRESENTA EN ABSOLUTO UNA AMENAZA Y NO TIENE INTERÉS PARA UN FIN MALÉVOLO
- el modo CBC no es el mejor para datos aleatorios y tampoco el más rápido
- la clave de 128 bits de longitud debe ser más larga
- la misma clave se utiliza para cada archivo
- la misma clave codificada de caja blanca se utiliza para cada ejecución
- sin ofuscación de código (a excepción de caja blanca)
Propósitos:
- aprender implementaciones y conceptos de ransomware, con el fin de derrotarlo
- estudio de la criptografía
- ingeniería inversa práctica
- estar preparado para las amenazas nuevas y avanzadas
- demostrar el poder y el potencial del ransomware
¡No lo ejecutes en tu propio PC! USA UNA MÁQUINA VIRTUAL
Github: https://github.com/cryptolok/CryptoTrooper
Fuente: Segu-info.com.ar