Cryptographic/Compression Algorithms
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn du in einem Code Rechts- und Linksverschiebungen, XORs und mehrere arithmetische Operationen verwendest, ist es sehr wahrscheinlich, dass es sich um die Implementierung eines kryptografischen Algorithmus handelt. Hier werden einige Möglichkeiten gezeigt, um den verwendeten Algorithmus zu identifizieren, ohne jeden Schritt umkehren zu müssen.
CryptDeriveKey
Wenn diese Funktion verwendet wird, kannst du herausfinden, welcher Algorithmus verwendet wird, indem du den Wert des zweiten Parameters überprüfst:
Überprüfe hier die Tabelle möglicher Algorithmen und deren zugewiesene Werte: https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id
RtlCompressBuffer/RtlDecompressBuffer
Komprimiert und dekomprimiert einen gegebenen Datenpuffer.
CryptAcquireContext
Aus den Dokumenten: Die CryptAcquireContext-Funktion wird verwendet, um einen Handle für einen bestimmten Schlüsselcontainer innerhalb eines bestimmten kryptografischen Dienstanbieters (CSP) zu erwerben. Dieser zurückgegebene Handle wird in Aufrufen von CryptoAPI-Funktionen verwendet, die den ausgewählten CSP nutzen.
CryptCreateHash
Initiert das Hashing eines Datenstroms. Wenn diese Funktion verwendet wird, kannst du herausfinden, welcher Algorithmus verwendet wird, indem du den Wert des zweiten Parameters überprüfst:
Überprüfe hier die Tabelle möglicher Algorithmen und deren zugewiesene Werte: https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id
Manchmal ist es wirklich einfach, einen Algorithmus zu identifizieren, da er einen speziellen und einzigartigen Wert verwenden muss.
Wenn du nach der ersten Konstante bei Google suchst, erhältst du Folgendes:
Daher kannst du annehmen, dass die dekompilierte Funktion ein SHA256-Rechner ist. Du kannst nach einer der anderen Konstanten suchen und wirst (wahrscheinlich) dasselbe Ergebnis erhalten.
Wenn der Code keine signifikante Konstante hat, könnte er Informationen aus dem .data-Bereich laden. Du kannst auf diese Daten zugreifen, die erste DWORD gruppieren und sie in Google suchen, wie wir es im vorherigen Abschnitt getan haben:
In diesem Fall, wenn du nach 0xA56363C6 suchst, kannst du herausfinden, dass es mit den Tabellen des AES-Algorithmus verbunden ist.
Es besteht aus 3 Hauptteilen:
Initialisierungsphase/: Erstellt eine Tabelle von Werten von 0x00 bis 0xFF (insgesamt 256 Bytes, 0x100). Diese Tabelle wird allgemein als Substitutionsbox (oder SBox) bezeichnet.
Scrambling-Phase: Wird durch die zuvor erstellte Tabelle (Schleife von 0x100 Iterationen, erneut) schleifen und jeden Wert mit semi-zufälligen Bytes modifizieren. Um diese semi-zufälligen Bytes zu erstellen, wird der RC4 Schlüssel verwendet. RC4 Schlüssel können zwischen 1 und 256 Bytes lang sein, es wird jedoch normalerweise empfohlen, dass sie länger als 5 Bytes sind. Üblicherweise sind RC4-Schlüssel 16 Bytes lang.
XOR-Phase: Schließlich wird der Klartext oder Chiffretext mit den zuvor erstellten Werten XORed. Die Funktion zum Verschlüsseln und Entschlüsseln ist dieselbe. Dazu wird eine Schleife durch die erstellten 256 Bytes so oft wie nötig durchgeführt. Dies wird normalerweise in einem dekompilierten Code mit einem %256 (mod 256) erkannt.
Um ein RC4 in einem Disassemblierungs-/dekompilierten Code zu identifizieren, kannst du nach 2 Schleifen der Größe 0x100 (unter Verwendung eines Schlüssels) suchen und dann ein XOR der Eingabedaten mit den 256 zuvor in den 2 Schleifen erstellten Werten, wahrscheinlich unter Verwendung eines %256 (mod 256)
Verwendung von Substitutionsboxen und Nachschlagetabellen
Es ist möglich, AES anhand der Verwendung spezifischer Nachschlagetabellenwerte (Konstanten) zu unterscheiden. Beachte, dass die Konstante im Binärformat oder dynamisch erstellt werden kann.
Der Verschlüsselungsschlüssel muss durch 16 (normalerweise 32B) teilbar sein und es wird normalerweise ein IV von 16B verwendet.
Es ist selten, Malware zu finden, die es verwendet, aber es gibt Beispiele (Ursnif)
Einfach zu bestimmen, ob ein Algorithmus Serpent ist oder nicht, basierend auf seiner Länge (extrem lange Funktion)
In der folgenden Abbildung beachte, wie die Konstante 0x9E3779B9 verwendet wird (beachte, dass diese Konstante auch von anderen Krypto-Algorithmen wie TEA -Tiny Encryption Algorithm verwendet wird). Beachte auch die Größe der Schleife (132) und die Anzahl der XOR-Operationen in den Disassemblierungs-Anweisungen und im Code-Beispiel:
Wie bereits erwähnt, kann dieser Code in jedem Decompiler als sehr lange Funktion visualisiert werden, da es keine Sprünge darin gibt. Der dekompilierte Code kann wie folgt aussehen:
Daher ist es möglich, diesen Algorithmus zu identifizieren, indem man die magische Zahl und die initialen XORs überprüft, eine sehr lange Funktion sieht und einige Anweisungen der langen Funktion mit einer Implementierung (wie der Linksverschiebung um 7 und der Linksrotation um 22) vergleicht.
Komplexer als symmetrische Algorithmen
Es gibt keine Konstanten! (benutzerdefinierte Implementierungen sind schwer zu bestimmen)
KANAL (ein Krypto-Analyzer) kann keine Hinweise zu RSA geben, da er auf Konstanten angewiesen ist.
In Zeile 11 (links) gibt es ein +7) >> 3
, das dasselbe ist wie in Zeile 35 (rechts): +7) / 8
Zeile 12 (links) überprüft, ob modulus_len < 0x040
und in Zeile 36 (rechts) wird überprüft, ob inputLen+11 > modulusLen
3 Funktionen: Init, Update, Final
Ähnliche Initialisierungsfunktionen
Init
Du kannst beide identifizieren, indem du die Konstanten überprüfst. Beachte, dass die sha_init eine Konstante hat, die MD5 nicht hat:
MD5 Transform
Beachte die Verwendung von mehr Konstanten
Kleiner und effizienter, da seine Funktion darin besteht, zufällige Änderungen in Daten zu finden
Verwendet Nachschlagetabellen (so kannst du Konstanten identifizieren)
Überprüfe Nachschlagetabellenkonstanten:
Ein CRC-Hash-Algorithmus sieht wie folgt aus:
Keine erkennbaren Konstanten
Du kannst versuchen, den Algorithmus in Python zu schreiben und online nach ähnlichen Dingen zu suchen
Der Graph ist ziemlich groß:
Überprüfe 3 Vergleiche, um ihn zu erkennen:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)