Búsqueda en archivos cifrados con xor – xorsearch

Algunos shellcodes o malware incorporan protecciones para los curiosos, en el caso del malware por ejemplo para evitar que se pueda saber, por ejemplo, a que objetivos está enfocado el troyano. Cifran el archivo de configuración de manera que cuando el analista de malware se dedica a conseguir el archivo de configuración del troyano, se encuentra con que el archivo esta cifrado, de manera que es ininteligible a la vista del usuario.

El cifrado XOR en si, es vulnerable y se puede conseguir la clave al comparar varios mensajes cifrados en XOR

Existe una manera rápida de saber si realmente lo que estamos buscando se encuentra dentro de un archivo de configuración de esa manera podemos rápidamente hacer fuerza bruta de un string en un archivo cifrado.

La utilidad es del gran Didier Steven, el “mago de los PDF”, se llama xorsearch con esta utilidad podremos de manera muy sencilla hacer búsquedas contra un fichero cifrado con XOR.

Aquí tenemos un ejemplo del fichero en ascii, no se puede leer por lo tanto haremos una búsqueda con xorsearch

Descargamos la utilidad de aquí.

Ahora hacemos la búsqueda contra el fichero cifrado:

C:\Users\seifreed\Desktop>xorsearch config.dat credem.it Found XOR 11 position 1637: credem.it

Podemos ver que ha encontrado lo que estábamos buscando así que nos sirve para realizar las búsqueda de cosas concretas en archivos cifrados con xor.