Статья Пишем ратник с нуля и навека

[Quake3]

Никто асиметричными алгосами не шифрует данные, тут все верно. Асиметрией шифруется ключ симметричного алгоса, и дальше все данные шифруются им. Это классика для крипты в целом (и для тех же локеров).
Только я бы вместо RSA советовал бы посмотреть в сторону эллиптической кривой. Она проще. Если кому-то интересно, могу запилить небольшую статью, когда-то кодил админку с подписью команд; но сразу говорю, я не эксперт в криптографии.

 

[DildoFagins]

Только я бы вместо RSA советовал бы посмотреть в сторону эллиптической кривой. Она проще.

Ну как проще. На современных системах вроде и RSA и ECC считай встроены в систему (там CryptoAPI на венде и OpenSSL скорее всего будет предустановлен на линуксах/маках, если кому то есть до них дело), там как бы с точки зрения апи различий существенных между ними не должно быть. Если используешь сторонние библиотеки (типа embedtls), то опять же скорее всего и то и то будет там реализовано и не особо отличаться по апи. Реализовывать криптографию самому - это смертный грех, так что... С практической точки зрения наверное единственным преимуществом эллиптических кривых является то, что при одинаковой длине ключа эллиптические кривые являются более стойкими (что-то типа 2048 бит ключа ECC по криптостойкости соответствует 3072 битовому RSA ключу, или что-то такое, если мне память не изменяет).

 

[Quake3]

DildoFagins да, эллиптика более стойкая, и она попроще. Криптоапи есть в винде, но их мало кто юзает, т.к. благодаря лохерам они теперь дают детект, а параноики утверждают о "закладках" АНБ в их коде (имхо, бред). Если взять Curve25519 , то по факту тут нужно просто 32 рендомных байта, и все - это ключ, с него генерится второй и норм. Проще, чем конвертировать блобы между опенссл и криптоапи.

 

[DildoFagins]

Криптоапи есть в винде, но их мало кто юзает, т.к. благодаря лохерам они теперь дают детект, а параноики утверждают о "закладках" АНБ в их коде (имхо, бред).

Вообще это канеш странно, очень много легитимного вендового софта использует криптоапи. Ну можно попробовать динамический импорт по хешам сделать.

Если взять Curve25519 , то по факту тут нужно просто 32 рендомных байта, и все - это ключ, с него генерится второй и норм. Проще, чем конвертировать блобы между опенссл и криптоапи.

Ну криптоапи канеш некрасивый апи - это да.

 

[X-Shar]

Можно разделить трафик, на трафик который нужно шифровать и нет.

Например в нашем ботнете мы делали шифрование для маскировки трафика больше, нежели защиты, поэтому ключ для расшифровки был в сообщении, это можно продумать как-то, что-бы ключ не хранить в посылке...

А так, трафик который нуждается в защите, например логи кейлоггера, можно шифровать самим модулем кейлоггера и расшифровывать уже например в админке, как вариант.

Шифровать сами картинки, незнаю на сколько это нужно ?

Вообще идея интересная, может с Jeffs что-то попробуем сделать, но необещаем...

Вообще идея пока-что начать с такого функционала:

- Возможность наблюдать за ботом в админке.
- Получение списка файлов.
- Возможность загружать/выгружать файлы и исполнять их.

Если это получится сделать уже будет круто, мне кажется, взаимодействие будет на вебсокетах, ну тут ещё нужно продумать сжатие картинок, а лучше отсылать измененные пикселы на сервер, это уменьшит трафик в разы...

Короче шифрование, это не самое сложное в этой задаче, могут-быть различные варианты.)

 

[Apocalypse]

Вы слишком заморачиваетесь с шифрованием, вашу малварь никто не будет детектить по шифрованному трафику (обычного ксора достаточно, чтобы скрыть банальные строки в трафике). В прошлом конкурсе проскакивала инфа по основным принципам определения зловредного трафа, конечно там свои нюансы для каждого зловреда, но факт в том, что шифрование не учитывается в принципе.

 

[Haunt]

В прошлом конкурсе проскакивала инфа по основным принципам определения зловредного трафа

Тема кстати интересная, я бы хотел обсудить некоторые нюансы, но не на публику