Part 3 Learn more about some attacks 🔑

Let's start with location scouting 🌍

Every BS has an antenna for communication . The antenna provides radio coverage of the cell, each cell has its own identifier - CI
BS are grouped into geographical zones so to speak. The identifier of such a group is called LAC. Then the BS are connected to the BSC. All BSCs are connected to the MSC, which is a common voice telephone switchboard.
The VLR is considered a separate network element, but is usually always integrated with the MSC,
Yeah, that's what all that stuff was about.
The VLR has a database .The VLR contains information about the callers that are currently in the area of that MSC.

As you understand (for you are smart) I am talking about their location. 🌎
I mean the location of each subscriber down to the hundreds is stored in this database. There are some more nodes which are location related, for example HLR for the home location, so to speak, and AuC for the authentication center. They are located together.
HLR/AuC store the profiles of their network subscribers.
Who does not know what information is stored there and we will need it later on.
The telephone number of the subscriber, IMSI, security keys, authorization list, the address of the billing center, the subscriber's MSC/VLR
Almost the same thing appears in the VLR, when the subscriber is registered in its coverage area.

Now let's go off topic and talk about sending sms.✉️
The serving MSC embeds the message in the MAP and sends it to the short message service center associated with the MSC. A subsequent acknowledgement is sent from the SMSC to the MSC indicating receipt by the SMSC. The latter does not know the location of the terminating subscriber so asks for information from the HLR, it looks for it using SRI-For-SM.
#ss7 #attacks #mobile #part3, #network

Part 3.5 - Attacks

Now I will go through a few attacks in detail

The first one I want to talk about is when an SMSC pretends to be an SMSC which wants to deliver a text message and gets the location of a network user.
The hacker or fake SMSC needs the MSC/VLR of the subscriber's network. He sends a request to the SRI-For-SM from the target subscriber's MSISDN. He then addresses the message to the STP gateway in our target subscriber's home network. The hacker obviously doesn't know the recipient's HLR address, so he does tricks such as setting up a GTT and using MSISDN as the SCCP calling party address. This puts the hacker's address in the SCCP calling party address field. And the STP gateway performs a GTT to look up the point code and HLR subsystem. The message is then forwarded to the HLR. The HLR queries the database using MSISDN as the key.
And the results of the query are placed in the SRI-For-SM response and sent to the STP gateway to route back to the sender of the query. I.e. to the hacker in the result he has the subscriber IMSI , MSC/VLR is currently serving the subscriber , Point code SS7 Address HLR in the subscribers home network.

Let's look at another attack - I will not go through all types of attacks listed above because too long it will be in the articles below.

Let's start with a preamble
Let me remind you that when a user logs on to a roaming network, he registers himself with one of the MSCs of the roaming network with which the home network has to make an agreement. But so the VMSC sends a map location update request to HLR . this message contains GT along with other parameters. The HLR stores the address in a database so that in the future all calls and short messages can be routed through this VMSC to the subscriber. The HLR sends a message that contains information about the subscriber's profile, security information and his gsmCSF address with a list of events that should be reported to the home network for that particular subscriber.
If the subscriber makes a call to the home country without a country code, the VMSC does not recognize the format of the dialed number and asks the subscriber's home network gsmCSF for instructions regarding the call. The gsmCSF converts the dialed number from local format to international format by entering the country code and tells the VMSC to forward the call to the changed number. But so the VMSC forwards this call to the MSC of the called party.📡


Now about the attack itself is used as follows

First of all, the hacker needs the address of the serving MSC , IMSI and MSRN.
The attacker pretends to be SMSC as in the last attack HLR itself returns IMSI, msrnMSRN and GT serving MSN.
But we will go a little further =))
In the next step the attacker acts as a home HLR and sends the card insert subscriber data to the VMSC which contains a list of events and the address of the malicious gsmCSF to report these events. When a subscriber makes a call without a country code, it sends an ISUP (IAM) message to the VMSC. The VMSC in turn forwards this request to the hacker-controlled gsmCSF/entity, treating it as a normal address.
The hacker changes the dialed number to a number of his choice and returns the changed number to the VMSC, asking it to forward the call to that number.
The VMSC forwards the call to a number specified by the hacker, which may be a recording proxy. the hacker has the actual number of the recipient, can forward the call to the recipient, and can record or listen to the conversation through that proxy. The call is connected, but none of the parties involved in the conversation are aware of the hacker interception.

This is roughly the structure of these attacks =)

And that's the end of the post, thanks for reading❤️

I hope you understood - see the articles about this topic in the archive below .

Well, do not forget to come to the tea party at the shlyamnik tea may not always be tasty ☕️🎩
#ss7 #attacks #mobile #part3, #network

Да ,эти стикеры я официально увидела с 0% private, но оно клёвые :)
Спасибо за 250 людей ❤

Привет, мои Алисы и зайчики.🐰✨
Вы опять пришли попить чай со шляпником?🎩

Ну что ж, я сегодня хочу вам рассказать про веб сканеры уязвимостей.🎯

Для начала разберемся - "для чего это собственно нужно?" 🤔

Ну это как минимум ускорение в несколько раз упрощенного пентеста вашего сайта.
Да, обычный пентест во много раз лучше, но если вам нужно базово проверить безопасность, то неплохо бы воспользоваться подобными сканерами.
Плюс некоторые из сканеров бывают довольно мощными и отлично справляются с базовыми тестами. Поэтому стоит обратить на них внимание.

Но так какие же бывают сканеры?

Лично для меня они делятся на несколько типов: те, которые используют чтобы посмотреть информацию о сервере, или поискать на этом сервере определенную cve, или поиск серверов по определённой cve или поиск, допустим, серверов с одним и тем же доменом - короче поисковики грубо говоря. Для примера, в эту категорию для меня входят сканеры типо Shodan, Binaryedge, Fofa, Censys, ZoomEye.

И еще есть для более глубоких веб тестов именно на определенном сервере, а не сбор обычной информации.
В эту категорию для меня входят такие сканеры, как Netsparker, DeepScan, Nessus, Acunetix мне кажется Metasploit отчасти из той же оперы, хотя там более расширенный функционал . Такая же история с Nmap, для меня весьма похож на что-то среднее между вторым и первым типами, хотя на счет него и немного спорно, ибо его функционал можно значительно расширить с помощью скриптов.

Ну что ж, разобрались какие есть, давайте разберемся как они работают.🙃
Я не буду говорить про настройку отдельных программ, просто давайте разберем их принцип работы .

Разберем первый тип.
Они работают как поисковики. Но их принципы работы сильно отличаются от поисковых систем типа Google. Google собирает и хранит веб-страницы для нашего запроса, в то время как поисковые системы в первом типе используют технологию обнаружения сетевых ресурсов. Отправляя пакет обнаружения на удаленные устройства, они могут получить важную информацию о нашем сайте и не только, а также провести всесторонний анализ и отображение.

Забавно кстати что многие из подобных систем разработаны в Китае =) 🐉
Как говорится, Китай любит сбор инфы.📸

Там собирается инфа такая как: цифровая подпись устройства, порты, ключи, возможные cve и много-много чего еще. В этих системах очень много фильтров. Лучше посмотрите сами =)) это всьма маштабные проекты.

Думаю с ними все +- ясно, перейдем ко второму типу сканеров.

Они уже не похожи на поисковики, ни капли.
Принцип +- прост, они автоматически анализируют и сканируют веб-сайт, чтобы построить его структуру. Процесс сканирования перечисляет все файлы, папки и входные данные .
А так же запускает серию проверок веб-уязвимостей для каждого компонента вашего сайтика — по сути, проводя "авто пентест".
Так же работает проверка каждого порта на сайтике. В сканирование входит поиск таких уязвимостей, как, к примеру, sqli, xss и отдельные cve. Также оно дает информацию об устаревших версиях библиотек и сертификатах на вашем сайте и информацию для реализации каких сve это могут использовать.

Мое мнение что такие сканеры весьма полезные, если нужно провести быстрый тест вашего сайта.
Первый тип больше для пентестеров и сбора информации, чтобы провести в будущем более серьезные тесты.
А второй могут использовать и обычные люди, ибо сканеры второго типа зачастую просты в использовании и автоматизируют всю работу.🧩
Тем не менее, я считаю, что для более серьезных тестов на уязвимости все же стоит проводить пентесты "руками", ибо такие сканеры в любом случае не покажут всю картину настолько полно как человек.

Ну что ж. Спасибо за прочтение❤️, всем добра⭐️

И помните: не засыпайте на чаепитии у шляпника, а то вас заставят рассказывать сказку.🐭
#pentest #attacks #scanners

Hello my Alice and bunnies 🐰✨
You're here for tea with the hatter again 🎩

Well, today I want to tell you about web vulnerability scanners .🎯

Let's start with "what are they for?" 🤔

At least it speeds up the simplified pintest of your site a few times.
Yes the usual pintest is many times better, but if you need a basic security check, it would be nice to use these scanners.
Plus, some of the scanners are davolno powerful and well cope with basic tests. So it is worth paying attention to them.

But what kind of scanners are there?

Personally for me, they are divided into several types, those that use to look at the information about the server, or search for this server specific cve, or search servers for a specific cve or search, say, servers with the same domain - short search engine roughly speaking . For example in this category for me are scanners such as Shodan , Binaryedge, Fofa, Censys, ZoomEye.

And then there are for more in-depth web tests on a particular server, rather than collecting the usual information.
In this category for me are scanners such as Netsparker , DeepScan , Nessus , Acunetix I think Metasploit partially from the same band, although it has more extended functionality. Same story with Nmap, for me is very similar to something in between the second and first types, although at the expense of him and a little controversial, because its functionality can be greatly expanding with the scripts.

Well, let's see what we have, let's see how they work.🙃
I will not talk about configuring individual programs, let's just look at how they work.

Let's break down the first type.
They work like a search engine. But their way of working , very different from the search engines like Google. Google collects and stores web pages for our query, while the search engines in the first type use a networking technologies discovery technology. By sending a discovery packet to remote devices, they can get important information about our site and beyond, as well as comprehensive analysis and mapping.

Funny thing is that many of such systems are developed in China =) 🐉
As they say China loves collecting information 📸 .

They collect information about digital signatures, ports, keys, possible cve and so on. There are a lot of filters in these systems. Better look for yourself =)) these are very big projects.

I think with them all + - clear, move on to the second type of scanners.

They do not resemble search engines any more.
The principle + - simple they automatically analyze and crawl the website to build its structure. The scanning process lists all files, folders and inputs .
It also runs a series of web vulnerability checks for each component of your site - in essence, an "auto penetration".
It also works by checking every port on the site. The scan includes scanning for vulnerabilities such as sqli, xss and cve. It also provides information about outdated versions of libraries and certificates on your site and information for the implementation of what cste can use it.

My opinion is that these scanners are very useful if you need to quickly test your site.
The first type is more for penetration and gather information to conduct more serious tests in the future.
But the second can be used by ordinary people, for scanners of the second type are often easy to use and automate all work. 🧩
Nevertheless, I think that for more serious vulnerability tests it is better to make penetrations "by hand", for such scanners in any case will not show the whole picture so completely as a human.

Well . Thank you for reading❤️ , good luck to all⭐️

And remember, don't fall asleep at the hatter's tea party, or they'll make you tell the tale.🐭
#pentest  #attacks #scanners

Здраствуйте ✨
Я случайно наткнулась на неплохую статью про квантовое шифрование .
Да, тех-подробностей и мат части в ней категорически мало - проффесианалы там не увидят что то новое , но для тех кто хочет именно ознакомиться с подобной тематекой она прекрасно подойдет, она описана простым и понятным языком а еще содержит клевые илюстрации

Hello ✨
Accidentally came across a good article about quantum encryption.
Yes, there are few technical details and mathematical parts in it - professionals will not see something new there, but for those who want to get acquainted with this topic it will be perfect, it is described in simple and understandable language and also contains cool illustrations

Привет ну что Алиса съиграем в кракет ? 🏒✨
Сегодня мы поговрим про взлом Алексы с помощь лазера 🔦

Речь кстати может идти не только об Алексе но и о других голосовых помошниках .
Как работаю эти помошники работают ?
Мы говорим сигнальное слово типо "Алекса привет включи музыку" и начинается запись голоса и выполнение команды.
Небольшая сноска про это =)
Существует множество случаев, когда некоторые устройства голосовые помощники записывают частную речь без ведома пользователя. Например, из-за ошибок прошивки некоторые продолжали записывать пользователей в течение 24/7 даже без
слово пробуждения и загрузжать ее записи на облачные серверы . Вообщем как говориться давно есть опасения что "нас слушают спецслужбы" .

Но в даном случае речь будет не совсем про это а про подобную уязвимостть миикрафона голосовых помощников , с помощью которой лазером можно на каком то расстояние давать ему голосовые команды.

Как происходит сам взлом?

Грубо говоря дело не совсем деле именно эта уязвимость не в самой алексе это можно сказать это уязвимость часто используемых микрафонов MEMS
Существует проблема , где микрофоны непреднамеренно реагируют на свет, как если бы это звук.
Используя этот эффект, можно внедрить звук в микрофоны, просто модулируя амплитуду лазерного света.
часто для взлома такого рода устройств умного дома достаточно даже 5 мВт мощности лазера (эквивалент лазерной указки) , а около 60 мВт достаточно для получения контроля над телефонами и планшетами.
Теперь чуть техничнее .

Для начала что за микрафоны такие и как они работают ?

MEMS-микрофон с тыльным портом состоит из диафрагмы и схемы ASIC.
Диафрагма представляет собой тонкую мембрану, которая изгибается в ответ на акустическую волну. Диафрагма и фиксированная задняя пластина работает в виде плоского конденсатора, емкость которого изменяется под следствием механических деформаций диафрагмы, она реагирует на переменное звуковое давление.

Теперь что за ASIC ?
ASIC преобразовывает емкостное изменение в сигнал напряжения на выход микрофона.
Теперь как оно выглядит.
Задний микрофон MEMS монтируется на поверхность PCB, с
апертура микрофона выставлена через полость на платe. Полость, в свою очередь,
является частью акустического пути, который направляет звук акустические порты в корпусе устройства к разъему микрофона .

Теперь к атаке

Измерение интенсивности света с помощью фотодиодного датчика . 💥

Для атаки мы увеличем постоянный ток диода с драйвером, лазера который излучает непрерывный лазерный луч мощностью 5 мВт.Но эта мощность меняется из за разной подачи тока.
Затем направляем луч нашего лазера на акустический порт на крепление платы MEMS для микрофона . Потом, мы записываем ток диода и выход микрофона.
Исследователи тестировали подобные штуки обычной офисной среде, т.е с окружающеми шумами .К примеру речью и шумом пк.

"передача понятна а как этот звук приобразрвывают в свет ?"

Хороший вопрос . Чтобы преобразовать звуковые сигналы в свет, мы кодируем интенсивность звукового сигнала как яркость лазерного луча- где громкие звуки вызывают большие изменения в яроксти света и слабее соответствуют меньшим изменениям интенсивности света. Далее интенсивность светового луча, излучаемого лазерным диодом, имеет направление пропорционально подаваемому току .
Мы используем лазерный драйвер чтобы регулировать ток лазерного диода в зависимости от аудио файла воспроизводимого во входной порт драйвера.

Ну это в общем то понятно а как защещаться?
Нуу..я решила оставить статью про защиту как и более подробную статью про этаки на самостоятельное прочьтение

А на этом думаю пора закнчивать .
Что-ж спасибо зп прочьтение ❤️
И да - Любите чеширских котиков ,они ведь не зря вам улыбаются😸
#lasers #attacks #wireless_hacking

Hey Alice, how about a game of Cracker Jack? 🏒✨
Today we're gonna talk about hacking Alexa with a laser 🔦

It's not only about Alexa but also about other voice helpers.
How do these helpers work?
We say a signal word like "Hey Alexa, turn on the music" and starts recording the voice and executing the command.
A little footnote about it =)
There are many cases when some devices voice assistants record private speech without the user's knowledge. For example, due to firmware bugs, some have continued to record users for 24/7 even without
waking up and uploading their recordings to cloud servers. In general, as they say for a long time there are fears that "the intelligence services are listening to us".

But in this case it will not be quite about that, but about similar vulnerability of voice assistants' microphone, with the help of which it is possible to give him voice commands by laser at some distance.

How does the hack itself happen?

Roughly speaking it's not really a matter of this vulnerability not in alexa itself it can be said it's a vulnerability of commonly used MEMS microphones
There is a problem where microphones unintentionally react to light as if it were sound.
Using this effect, it is possible to inject sound into the microphones simply by modulating the amplitude of the laser light.
Often even 5 mW of laser power (the equivalent of a laser pointer) is enough to break into these kinds of smart home devices, and about 60 mW is enough to gain control over phones and tablets.
Now a little more technical.

First of all what are these microphones and how do they work?

A MEMS microphone with a back port consists of an aperture and an ASIC circuit.
The diaphragm is a thin membrane that bends in response to an acoustic wave. The diaphragm and fixed back plate work as a flat capacitor whose capacitance changes due to mechanical deformations of the diaphragm, it responds to varying sound pressure.

Now what is an ASIC ?
The ASIC converts the capacitive change into a voltage signal to the microphone output.
Now what it looks like.
The rear MEMS microphone is mounted on the surface of the PCB, with the
the aperture of the microphone is exposed through a cavity on the board. The cavity, in turn,
is part of the acoustic path that directs the sound of the acoustic ports in the body of the device to the microphone jack .

Now for the attack

Measuring light intensity with a photodiode sensor . 💥

For the attack we will increase the constant current diode with a driver laser, which emits a continuous laser beam of 5 mW.But this power varies due to the different current supply.
Then we direct the beam of our laser to the acoustic port on the MEMS board mount for the microphone . Then, we record the diode current and the microphone output.
Researchers tested such things in a normal office environment, i.e. with ambient noise, e.g. speech and PC noise.

"I understand the transmission, but how do you convert that sound into light?"

That's a good question. To convert sound signals into light, we encode the intensity of the sound signal as the brightness of a laser beam-where loud sounds cause more changes in the brightness of the light and correspond less to smaller changes in the intensity of the light. Then the intensity of the light beam emitted by the laser diode has a direction proportional to the current supplied .
We use a laser driver to adjust the laser diode current depending on the audio file being played into the driver input port.

Well, that's pretty clear, but how do we protect ourselves?
Well...I decided to leave the article on protection as well as the more detailed article on etaks for you to read on your own.

And I think that's the end of it.
Well, thank you for reading ❤️
And yes, love the Cheshire cats, they're smiling at you for a reason.😸
#lasers #attacks #wireless_hacking

Привет мои Сони🐭 и Алисы✨ . Давно не виделись

Хочу поговорить с вами про крименалистику для борьбы с программаи вымогателями .🦠🗝

Я расскажу методы которые могут применяться для анализа программ-вымогателей ,и таким образом, позволяют обнаружить полезные криптографические фрагменты вредоносного ПО
которые впоследствии можно было бы использовать, чтобы обратить вспять последствия вредоносной программы . Текст давольно большой по этому разделю на 2 части
Ну что начем!

Часть 1 - Дамп данных
Обычные статические методы форензики используются когда система отключена как мы помним

Такой подход имет тонну недоствтков ибо большое количества информации храняться в энергозависмой памяти устройства. Это могут быть к примеру ключи шифрования, сведения об открытом соединении, запущенные процессы, пользователи являются ключи шифрования, сведения об открытом соединении, запущенные процессы, вошедшие в систему пользователи и так далее как вы понимаете это теряются когода оно выключино .
Так что же делать ?

Для этого и придумали life forensics . Он работает с включиной системой 

Но для полноценной крименалистики очень важным оспектом является захват памяти . Существуют 3 основных методов для этого

1. Программный, который обычно включает в себя выполнение программ извлечения помяти. Проблема с этим подходом заключается в том, что выполнение програм вляет на содержимое захваченной системной памяти.

2. Аппаратный, который обычно включает в себя подключение устройства, такие как карты PCMCIA , USB-накопители и тд но для этого всегда не обходим живой доступ к устройству

3. Методы, основанные на технологии виртуализации - Используя этот подход , моментальный снимок энергозависимой памяти анализируемой системы извлекается с помощью инструментов, предоставляемых программным обеспечением виртуализации. Очевидно, что для использования этого метода система должна работать в виртуализированной среде. Преимущества этого подхода над другими в том что никаких следов какой-либо извлечения нет и не нужен изический доступ. Программы не знают, что они анализируются или то что сделан дамп памяти это как раз то что хорошо для работы с програмами вымогателями.
#cryptography #forensics #virus #revers #ransomware

Часть 2 - работа с ключами шифрования🔑

Для чтобы система могла шифровать/дешифровать данные, криптографический алгоритм должен иметь доступ к ключам шифрования.

Давайте более подробно поговорим про извлечение ключей из памяти .

Для начала их нужно идентифицировать.

А как ?

Поскольку известно, что данные ключей имеют более высокую энтропию, чем неключевые данные, один из способов

найти ключ - это разделить данные на небольшие секции, измерить
энтропию каждого участка и отобразить места, где
энтропия особенно высока.

Поиск определенных известных шаблонов в памяти, таких как график ключей, которые характерны для определенных типов шифрования. Эти шаблоны также могут состоять из известных
смещения памяти, конкретные длины участков памяти с высокой энтропией или известные шаблоны энтропии.
Есть много видов шифрования но для примпера приведу идентификацию ключа AES.
AES - это сетевой шифр на основе подстановки-пермутации (SP). Шифр, который работает на 128-битных блоках и может использовать либо 128, 198 или 256-битные ключи.

Некоторые почти невозможным для расшифровки
без правильного ключа .Современные криптосистемы с симметричным ключом строятся с помощью многократного применения более простой функции, при этом выполняется несколько итераций или "раундов". Из главного ключа функция деривации извлекает различные подключи, используемые в каждом раунде. Это известно как алгоритм расписания ключей, и многие исследователи утверждают, что эта информация нуждается в информации.
Многие исследователи утверждают, что эта информация должна присутствовать в памяти . Так к чем это ? Эти знания о криптосистеме могут быть использованы для поиска шаблона ключа в памяти .

Критерием поиска является наличие математической связи между главным ключом и подключами.
Примечательно, что расписание ключей для 128-битного ключа AES представлено в памяти в виде плоского массива байтов, где первые 16 байт (или 128 бит) составляют исходный ключ. Остальные 160 байтов — это раундовые ключи, полученные из этого ключа. Для более крупных ключей AES используется соответствующее расписание ключей.
Захват памяти лучьше выполняеть ближе к началу выполнения программы-вымогателя, чтобы убедиться, что необходимые ключи все еще присутствуют в памяти.В случае атаки программы-вымогателя
где пользователь все еще может взаимодействовать с операционной системе после завершения первоначального шифрования, например программа-вымогатель Phobos, второй ключ AES, может, находится в память. Этот ключ используется для выполнения любых последующих действий шифрование, например, для любых новых созданных файлов. Этот подход возможно, используется, чтобы помешать восстановлению исходного ключа и защитить исходное шифрование.

Что ж пора заканчивать .🧩
Шифровальщиуи это большая тема но надеюсь вы поняли мое краткое обьяснение.
Для более конкретного понимания советую заглянуть в архив со статьями ниже - там много полезных статей и инфы по мимо той что описана выше .

Спасибо за прочтение❣️ . И помните даже если вы заблудились в темном лесу вы обязательно выйдите к замку червонной королевы🃏♥️
#cryptography #forensics #virus #revers #ransomware

Hi my Sony🐭 and Alice✨ . Long time no see.

I want to talk to you about crymalistics to fight ransomware 🦠🗝

I'll describe methods which can be used to analyze ransomware, and thus discover useful cryptographic pieces of malware
which could then be used to reverse the effects of the malware . This is a pretty big text, so I'll divide it into two parts
Here we go!

Part 1 - Data Dump
Conventional static forenziki methods are used when the system is shut down as we recall

This approach has a ton of drawbacks because a lot of information is stored in the energy-dependent memory of the device. This can be for example encryption keys, open connection information, running processes, users are encryption keys, open connection information, running processes, logged on users and so on and so on as you can see this is lost when it is switched off.
So what to do?

That's what life forensics is for. It works when the system is on. 

But a very important aspect for a true life forensics is the memory hijacking. There are 3 main methods for this

1. Programmatic, which usually involves running memory extraction programs. The problem with this approach is that the execution of the programs affects the contents of the captured system memory.

2. Hardware, which typically involves plugging in devices such as PCMCIA cards, USB sticks, etc. but this always requires live access to the device

3 Methods based on virtualization technology - Using this approach, a snapshot of the volatile memory of the system being analyzed is retrieved using tools provided by virtualization software. Obviously, in order to use this method, the system must be running in a virtualized environment. The advantage of this approach over others is that there is no trace of any extraction and no need for physical access. The programs do not know that they are being analyzed or that a memory dump has been made, which is just what is good for dealing with ransomware.
#cryptography #forensics #virus #revers #ransomware

Part 2 - working with encryption keys🔑

In order for a system to encrypt/decrypt data, the cryptographic algorithm must have access to the encryption keys.

Let's talk more about retrieving keys from memory .

First we have to identify them.

And how?

Since we know that the key data has a higher entropy than the non-key data, one way to
to find the key is to divide the data into small sections, measure
the entropy of each section and map the places where
entropy is particularly high.
Search for certain known patterns in memory, such as a key graph, that are specific to certain types of encryption. These patterns may also consist of known
memory offsets, specific lengths of high entropy memory regions, or known entropy patterns.
There are many types of encryption, but for an example I will give you the AES key identification.
AES is a substitution-permutation (SP) network cipher. A cipher that works on 128-bit blocks and can use either 128, 198, or 256-bit keys.

Some are nearly impossible to decrypt
without the correct key .Modern symmetric key cryptosystems are built using multiple applications of a simpler function, with several iterations or "rounds" being performed. From the master key, the derivation function extracts the different connections used in each round. This is known as the key scheduling algorithm, and many researchers argue that this information needs information.
Many researchers argue that this information needs to be present in memory . So what is it to ? This knowledge of the cryptosystem can be used to find the key pattern in memory .

The search criterion is the presence of a mathematical relationship between the master key and the connectors.
It is noteworthy that the key schedule for a 128-bit AES key is represented in memory as a flat array of bytes, where the first 16 bytes (or 128 bits) constitute the source key. The remaining 160 bytes are round keys derived from that key. For larger AES keys, a corresponding key schedule is used.
It's best to perform a memory grab closer to the beginning of the ransomware run to make sure that the necessary keys are still present in memory.In the case of a ransomware attack
where the user can still interact with the operating system after the initial encryption is complete, such as Phobos ransomware, a second AES key may be in memory. This key is used to perform any subsequent encryption activities, such as any new files created. This approach is probably used to prevent the recovery of the original key and protect the original encryption.

Well, it's time to end .🧩
Encryption is a big topic but I hope you understood my short explanation.
For a more specific understanding please go to the archive with articles below - there are many useful articles and information beyond that described above.

Thank you for reading❣️ . And remember even if you get lost in the dark forest you will come out to the castle of the queen of hearts🃏♥️
#cryptography #forensics #virus #revers #ransomware