eps2.0_unm4sk-pt1.tc Описание охоты

На днях fsociety «взломала» трансляцию Mr. Robot AMA Live Stream в Facebook, чтобы слить unm4sk-pt1.tc, за несколько дней до официальной даты релиза.

Как я и подозревал, видео содержало пасхалки из-за экранированного кода. Да начнется охота за мусором! [Впереди спойлеры S02E01]

1|Криптоволл Дарлин. Во-первых, спасибо создателям за то, что они пишут на SET (https://github.com/trustedsec/social-engineer-toolkit.git) на Kali (она использует одну из версий 1.*) .

Я всегда фанатею, когда распознаю на экране настоящие инструменты/фреймворки, поэтому было здорово видеть, как Дарлин использует это для компиляции полезной нагрузки программы-вымогателя.

В любом случае, я немедленно получил 192.251.68.254 на http://i239.bxjyb2jvda.net и был встречен гигантским изображением маски Гая Фокса в формате fsociety, с сообщением в стиле CryptoLocker, в котором говорилось, что все мои файлы были зашифрованы, с 24-часовым таймером.

Программы-вымогатели, как правило, выдвигают ультиматум, что-то вроде «ОТПРАВЬТЕ НАМ БИТКОИН$ В ТЕЧЕНИЕ 24 ЧАСОВ, ИЛИ МЫ УНИЧТОЖИМ КЛЮЧ PRG И ОТПРАВИМ ВАШИ ДАННЫЕ ВНИЗ ПО РЕКЕ СТИКС!»

Эта итерация, однако, не говорила ничего, кроме:

Не знаю, как вы, а я не жду 24 часа, чтобы узнать, что происходит!

Итак, я решил взломать время.

Покопавшись в web_analytics.js, мы можем найти функцию fire_beacon(), которая возвращает `window.atob(q);` после завершения jquery.countdown.js.

В Javascript atob() — это встроенная функция, которая декодирует строку данных, закодированную с использованием base-64. Декодирование var q предоставило мне эту строку ASCII:

‹div class=”over”›‹div›»Я искренне верю, что банковские учреждения более опасны, чем регулярные армии, и что принцип расходования денег с оплатой потомками под именем финансирования есть не что иное, как мошенничество с будущим на деньги. большой масштаб».‹/div›‹div class="автор"›- Томас Джефферсон‹/span›‹/div›‹/div›

2| QR-код Elliot’s Journal — написанный свинцом, он несовместим с ограничениями стандартного считывателя QR-кодов. Я пошел дальше и воссоздал его на компьютере, пока мой читатель не смог его расшифровать.

РЕДАКТИРОВАТЬ: Моя версия была грязной по-быстрому; ниже приведена более аккуратная побитовая реконструкция от /u/teknogeek1:

QR-код разрешается в www.conficturaindustries.com, сайт-реплика геогородов, дополненный любимыми элементами Netscape 3.0 (19 августа 1996 г.).

Используя программное обеспечение для сканирования веб-сайтов, такое как Burp's Spider, для сопоставления домена с запросами обнаруживает страницу базовой аутентификации доступа по адресу stage.conficturaindustries.com. Я оставлю этот этап для вас, чтобы вы могли исследовать его на свой собственный юридический риск. :-)

Последнее, но не менее важное, мое любимое: проверка тела HTML раскрывает эту классику с комментариями: