ZIP

Arseniy Sharoglazov, seorang peneliti keamanan siber di Positive Technologies selama akhir pekan berbagi eksperimen sederhana di mana ia menghasilkan file ZIP yang dilindungi kata sandi yang disebut x.zip.

Kata sandi yang dipilih Sharoglazov untuk mengenkripsi ZIP-nya adalah plesetan dari hit 1987 yang menjadi meme teknologi populer:

Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You
Tetapi peneliti menunjukkan bahwa ketika mengekstrak x.zip menggunakan kata sandi yang sama sekali berbeda, dia tidak menerima pesan kesalahan.

Faktanya, menggunakan kata sandi yang berbeda menghasilkan ekstraksi ZIP yang berhasil, dengan konten asli yang utuh:

pkH8a0AqNbHcdw8GrmSp

Dua kata sandi berbeda untuk file ZIP yang sama menghasilkan ekstraksi yang berhasil (Sharoglazov)

BleepingComputer berhasil mereproduksi percobaan menggunakan program ZIP yang berbeda. Kami menggunakan p7zip (setara 7-Zip untuk macOS) dan utilitas ZIP lain yang disebut Keka.

Seperti arsip ZIP peneliti, arsip kami dibuat dengan kata sandi yang lebih panjang yang disebutkan di atas, dan dengan mode enkripsi AES-256 diaktifkan.

Sementara ZIP dienkripsi dengan kata sandi yang lebih panjang, menggunakan salah satu kata sandi berhasil mengekstrak arsip.

Saat membuat arsip ZIP yang dilindungi kata sandi dengan mode AES-256 diaktifkan, format ZIP menggunakan algoritme PBKDF2 dan meng-hash kata sandi yang diberikan oleh pengguna, jika kata sandi terlalu panjang. Terlalu panjang, yang kami maksud lebih dari 64 byte (karakter), jelas peneliti.

Alih-alih kata sandi yang dipilih pengguna (dalam hal ini “Nev1r-G0nna-G2ve-…”) hash yang baru dihitung ini menjadi kata sandi sebenarnya untuk file tersebut.

Saat pengguna mencoba mengekstrak file, dan memasukkan kata sandi yang lebih panjang dari 64 byte (“Nev1r-G0nna-G2ve-… “), input pengguna akan sekali lagi di-hash oleh aplikasi ZIP dan dibandingkan dengan yang benar kata sandi (yang sekarang menjadi hash). Kecocokan akan menghasilkan ekstraksi file yang sukses.

Kata sandi alternatif yang digunakan dalam contoh ini (“pkH8a0AqNbHcdw8GrmSp”) sebenarnya adalah representasi ASCII dari hash SHA-1 kata sandi yang lebih panjang.

SHA-1 checksum dari “Nev1r-G0nna-G2ve-…” = 706b4838613041714e62486364773847726d5370.

Checksum ini ketika dikonversi ke ASCII menghasilkan: pkH8a0AqNbHcdw8GrmSp

Namun, perhatikan bahwa saat mengenkripsi atau mendekripsi file, proses hashing hanya terjadi jika panjang kata sandi lebih dari 64 karakter.

Dengan kata lain, kata sandi yang lebih pendek tidak akan di-hash pada tahap kompresi atau dekompresi ZIP.

Inilah sebabnya mengapa ketika memilih string panjang “Nev1r-G0nna-G2ve-… ” sebagai kata sandi pada tahap enkripsi, kata sandi sebenarnya yang ditetapkan oleh program ZIP secara efektif adalah hash (SHA1) dari string ini.

Pada tahap dekripsi, jika Anda memasukkan “Nev1r-G0nna-G2ve-…,” itu akan di-hash dan dibandingkan dengan kata sandi yang disimpan sebelumnya (yang merupakan hash SHA1). Namun, memasukkan kata sandi “pkH8a0AqNbHcdw8GrmSp” yang lebih pendek pada tahap dekripsi akan membuat aplikasi secara langsung membandingkan nilai ini dengan kata sandi yang disimpan (yaitu, sekali lagi hash SHA1).

Subbagian Tabrakan HMAC dari PBKDF2 di Wikipedia memberikan lebih banyak wawasan teknis kepada pembaca yang tertarik.

Namun, fakta bahwa sekarang ada dua kemungkinan kata sandi untuk ZIP yang sama tidak menunjukkan kerentanan keamanan, “karena seseorang masih harus mengetahui kata sandi asli untuk menghasilkan hash kata sandi,” entri tersebut menjelaskan lebih lanjut.

Aspek kunci yang menarik untuk diperhatikan di sini adalah, representasi ASCII dari setiap hash SHA-1 tidak harus berupa alfanumerik.

Dengan kata lain, mari kita asumsikan kita telah memilih kata sandi berikut untuk file ZIP kita selama percobaan ini. Kata sandi lebih panjang dari 64 byte:

Bl33pingC0mputer-Sh0w-M3-H0W-t0-pR0Duc3-an-eNcRyPT3D-ZIP-File-dengan cara paling sederhana
Checksum SHA-1 yang keluar menjadi: bd0b8c7ab2bf5934574474fb403e3c0a7e789b61

Dan representasi ASCII dari checksum ini terlihat seperti sekumpulan byte yang tidak masuk akal—hampir tidak elegan seperti kata sandi alternatif yang dibuat oleh peneliti untuk eksperimennya:

Representasi ASCII dari hash SHA-1 dari Bl33pingC0mputer… kata sandi

BleepingComputer bertanya kepada Sharoglazov bagaimana dia bisa memilih kata sandi yang checksum SHA-1-nya sedemikian rupa sehingga representasi ASCII-nya menghasilkan string alfanumerik yang bersih.

Dengan menggunakan versi yang sedikit dimodifikasi dari alat pemulihan kata sandi sumber terbuka, hashcat, peneliti membuat variasi dari string “Never Gonna Give You Up…” menggunakan karakter alfanumerik hingga dia mendapatkan kata sandi yang sempurna.

Dan, begitulah cara Sharoglazov sampai pada kata sandi yang kira-kira berbunyi seperti “Never Gonna Give You Up…,” tetapi representasi ASCII dari checksum SHA-1-nya adalah satu string alfanumerik yang rapi.

Bagi sebagian besar pengguna, membuat file ZIP yang dilindungi kata sandi dengan pilihan kata sandi mereka sudah cukup dan hanya itu yang perlu mereka ketahui.

Tetapi jika Anda memutuskan untuk bertualang, eksperimen ini memberikan gambaran tentang salah satu dari banyak misteri seputar ZIP terenkripsi, seperti memiliki dua kata sandi untuk rahasia Anda yang dijaga.

Sumber: Bleeping Computer

Pelaku ancaman di balik ransomware AstraLocker yang kurang dikenal mengatakan kepada BleepingComputer bahwa mereka menghentikan operasi dan berencana untuk beralih ke cryptojacking.

Pengembang ransomware mengirimkan arsip ZIP dengan dekripsi AstraLocker ke platform analisis malware VirusTotal.

BleepingComputer mengunduh arsip dan mengonfirmasi bahwa decryptor itu sah dan berfungsi setelah menguji salah satunya terhadap file yang dienkripsi dalam kampanye AstroLocker baru-baru ini.

Meskipun kami hanya menguji satu decryptor yang berhasil mendekripsi file yang dikunci dalam satu kampanye, decryptor lain dalam arsip kemungkinan dirancang untuk mendekripsi file yang dienkripsi dalam kampanye sebelumnya.

Sementara pengembang tidak mengungkapkan alasan di balik penutupan AstraLocker, kemungkinan karena publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan mendaratkan operasi di garis bidik penegakan hukum.

Decryptor universal untuk ransomware AstraLocker saat ini sedang dalam pengerjaan, yang akan dirilis di masa mendatang oleh Emsisoft, sebuah perusahaan perangkat lunak yang dikenal membantu korban ransomware dengan dekripsi data.

Meskipun tidak terjadi sesering yang kami inginkan, grup ransomware lain telah merilis kunci dekripsi dan dekripsi ke BleepingComputer dan peneliti keamanan sebagai isyarat niat baik saat mematikan atau merilis versi baru.

Seperti yang baru-baru ini diungkapkan oleh firma intelijen ancaman ReversingLabs, AstraLocker menggunakan metode yang agak tidak lazim untuk mengenkripsi perangkat korbannya dibandingkan dengan jenis ransomware lainnya.

Alih-alih mengkompromikan perangkat terlebih dahulu (baik dengan meretasnya atau membeli akses dari pelaku ancaman lainnya), operator AstraLocker akan langsung menyebarkan muatan dari lampiran email menggunakan dokumen Microsoft Word yang berbahaya.

Umpan yang digunakan dalam serangan AstroLocker adalah dokumen yang menyembunyikan objek OLE dengan muatan ransomware yang akan disebarkan setelah target mengklik Jalankan dalam dialog peringatan yang ditampilkan saat membuka dokumen.

Catatan tebusan AstraLocker (ReversingLabs)

Sebelum mengenkripsi file pada perangkat yang sekarang disusupi, ransomware akan memeriksa apakah itu berjalan di mesin virtual, mematikan proses dan menghentikan pencadangan dan layanan AV yang akan menghambat proses enkripsi.

Berdasarkan analisis ReversingLabs, AstraLocker didasarkan pada kode sumber ransomware Babuk Locker (Babyk) yang bocor, jenis buggy tetapi masih berbahaya yang keluar dari ruang angkasa pada September 2021.

Selain itu, salah satu alamat dompet Monero dalam catatan tebusan AstraLocker juga terkait dengan operator ransomware Chaos.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

File ZIP terenkripsi dapat memiliki dua kata sandi yang benar

Ransomware AstraLocker dimatikan dan melepaskan decryptors

ZIP

Cookies Settings