制作背景
题目要求
banana.jpg被Black Basta勒索病毒给加密了,要求选手在服务器上还原出该图片。当还原成功时,服务器上的/flag即可读。
The No More Ransom Project
The No More Ransom Project,它是一个全球性的倡议,为各种类型的勒索软件提供免费的解密工具。它旨在帮助受到勒索软件攻击的受害者,让他们无需支付赎金就能恢复被加密的数据。
Black Basta即可获取到下载地址。Black Basta Buster
Black Basta勒索软件采用基于ChaCha密钥流的加密算法,利用该算法对64字节长的文件块执行XOR操作,并确定加密块的位置是由文件大小决定,根据文件大小,勒索软件会加密前5000个字节。Known Plaintext Attack,就可以恢复文件。文件是否可以完全恢复或部分恢复取决于文件的大小。低于5000字节的文件无法恢复。对于大小在5000字节到1GB之间的文件,可以完全恢复。对于大于1GB的文件,前5000字节将丢失,但其余部分可以恢复。Black Basta Buster解密软件。key.block
README.rst,可知道要得到key.block,需要使用xorblocks.py,并传入被加密的文件,以及已知的明文块plaintext.block。
key.block。解题过程
cd /tmp
wget https://github.com/srlabs/black-basta-buster/archive/refs/heads/master.zip -O buster.zip
unzip buster.zip && cd black-basta-buster-master
cp /var/www/html/banana.jpg.sah28vut5 . && cp /var/www/html/key.block .
# 替换项目文件里的错误
sed -i 's/flags/"flags"/' ./decryptblocks.py
export SRL_IGNORE_MAGIC=1
./decryptblocks.py ./banana.jpg.sah28vut5 ./key.block
cp ./banana.jpg.sah28vut5 /var/www/html/banana.jpg
watch cat /flag
SRL_IGNORE_MAGIC,那必须先./magic.py ./banana.jpg.sah28vut5
# 得到MAGIC、MAGIC_EXT,然后修改magic.py
勒索无时无刻不在……
root/123456,然后过一段时间,就发现容器里的文件打不开,且ssh账号也被修改了。然后发现了Your data has been locked!.txt
RaaS模式
后来,我了解到这些勒索软件组织为何如此肆无忌惮,这与他们所倡导的勒索软件即服务(RaaS)模式密不可分。以LockBit为例,在其RaaS模式中,运营组织分成约 20%赎金,其余部分全部分给附属组织,高额的分成吸引了大量的勒索攻击团伙,也让LockBit的勒索组织规模迅速扩大。
简单理解,RaaS就是黑客组织借由暗网和虚拟货币技术,对外出租或售卖成熟的勒索软件产品和服务,普通人购买了该组织的RaaS产品,就可以轻松地对各个机构、公司、个人发起攻击。
+ + + + + + + + + + +
关于伽玛实验室
伽玛实验室(GAMELAB)聚焦网络安全竞赛研究领域,覆盖网络安全赛事开发、技术研究、赛制设计、赛题研发等方向。秉承“万物皆可赛”的信念,研究内容涉及WEB渗透、密码学、二进制、AI、自动化利用、工控等多个重点方向,并将5G、大数据、区块链等新型技术与网安竞赛进行融合,检验新型技术应用安全性的同时,训练网安人员的实战能力。同时,不断创新比赛形式,积极推动反作弊运动,维护网安竞赛健康长远发展。团队成员以95后为主,是支极具极客精神的年轻团队。
原文始发于微信公众号(春秋伽玛):【WP】2024年春秋杯夏季赛“初探勒索病毒”出题思路详解
