- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者:Axelle Apvrille
2011年11月8日 7:56 am
今こそCrypto GirlがCryptoについて話すべき時ですよね。
数日前、SymbOS/OpFake.A!tr.dialと呼ばれる、悪意のあるOpera Updaterを分析し、その設定ファイルの1つを隠ぺいするために91バイトのXORキーを使用していることを発見して驚きました。91バイトですって?! そうなのです、バイトです。つまり、728ビットです。これは相当なビット数です。AESがこのXORよりセキュリティレベルが低いと言っているわけではありませんが、AESは最大でも256ビットしかキーを使用しません。しかし、モバイルマルウェアにとって、1つのバイトキーでXORが使用されているのはこれが初めてです。以下の分解された解読ルーティンを見てください。
実のところ、これはヨーロッパでのRSAカンファレンスでの私の講演内容のもう1つのコンファメーションでもあります。その講演で、1バイトキーのXOR暗号は依然としてマルウェア作成者の間でかなり人気があるが、彼らはさらに複雑なアルゴリズムに少しずつ移行していると述べました。実際、AESのようなアルゴリズムのことを言っていましたが、XOR向けの91バイトキーは物事を複雑にするもう一つの方法です・・・私のスライド(英語)または以下のデモビデオをぜひご覧ください。
幸運なことに、SymbOS/OpFake.A!tr.dialに関しては、このキーは暗号化ファイルの始めに提供されていました。最初がキーの長さ(0x5b = 91)、それからキー、そしてciphertextです。
- the Crypto Girl
