eps2.0_unm4sk-pt1.tc Описание охоты
На днях fsociety «взломала» трансляцию Mr. Robot AMA Live Stream в Facebook, чтобы слить unm4sk-pt1.tc, за несколько дней до официальной даты релиза.
Как я и подозревал, видео содержало пасхалки из-за экранированного кода. Да начнется охота за мусором! [Впереди спойлеры S02E01]
1|Криптоволл Дарлин. Во-первых, спасибо создателям за то, что они пишут на SET (https://github.com/trustedsec/social-engineer-toolkit.git) на Kali (она использует одну из версий 1.*) .
Я всегда фанатею, когда распознаю на экране настоящие инструменты/фреймворки, поэтому было здорово видеть, как Дарлин использует это для компиляции полезной нагрузки программы-вымогателя.
В любом случае, я немедленно получил 192.251.68.254 на http://i239.bxjyb2jvda.net и был встречен гигантским изображением маски Гая Фокса в формате fsociety, с сообщением в стиле CryptoLocker, в котором говорилось, что все мои файлы были зашифрованы, с 24-часовым таймером.
Программы-вымогатели, как правило, выдвигают ультиматум, что-то вроде «ОТПРАВЬТЕ НАМ БИТКОИН$ В ТЕЧЕНИЕ 24 ЧАСОВ, ИЛИ МЫ УНИЧТОЖИМ КЛЮЧ PRG И ОТПРАВИМ ВАШИ ДАННЫЕ ВНИЗ ПО РЕКЕ СТИКС!»
Эта итерация, однако, не говорила ничего, кроме:
Не знаю, как вы, а я не жду 24 часа, чтобы узнать, что происходит!
Итак, я решил взломать время.
Покопавшись в web_analytics.js, мы можем найти функцию fire_beacon(), которая возвращает `window.atob(q);` после завершения jquery.countdown.js.
В Javascript atob() — это встроенная функция, которая декодирует строку данных, закодированную с использованием base-64. Декодирование var q предоставило мне эту строку ASCII:
‹div class=”over”›‹div›»Я искренне верю, что банковские учреждения более опасны, чем регулярные армии, и что принцип расходования денег с оплатой потомками под именем финансирования есть не что иное, как мошенничество с будущим на деньги. большой масштаб».‹/div›‹div class="автор"›- Томас Джефферсон‹/span›‹/div›‹/div›
2| QR-код Elliot’s Journal — написанный свинцом, он несовместим с ограничениями стандартного считывателя QR-кодов. Я пошел дальше и воссоздал его на компьютере, пока мой читатель не смог его расшифровать.
РЕДАКТИРОВАТЬ: Моя версия была грязной по-быстрому; ниже приведена более аккуратная побитовая реконструкция от /u/teknogeek1:
QR-код разрешается в www.conficturaindustries.com, сайт-реплика геогородов, дополненный любимыми элементами Netscape 3.0 (19 августа 1996 г.).
Используя программное обеспечение для сканирования веб-сайтов, такое как Burp's Spider, для сопоставления домена с запросами обнаруживает страницу базовой аутентификации доступа по адресу stage.conficturaindustries.com. Я оставлю этот этап для вас, чтобы вы могли исследовать его на свой собственный юридический риск. :-)
Последнее, но не менее важное, мое любимое: проверка тела HTML раскрывает эту классику с комментариями: