轉載一篇非(gay)常(里)有(gay)趣(氣)的文章。歡迎閱讀??

--------正文分割線--------

作者:黑鳥

原文鏈接:mp.weixin.qq.com/s/QqpN

今天逛窯子,看見老窯頭髮了張圖片,大致如下:

Oh SHIT!

你的文件都被加密了,糟透了?那就是當你在陰暗的網站上觀看色情時會發生的事情。你的文件已經被我們用AES-256加密啦,你沒辦法解密啦。你如果不信,你可以點擊下面的查看損壞文件按鈕。幸運的是,這裡有一個辦法可以讓你的可以把文件恢復,然後不用你付任何錢。那麼就是,你點擊 「I』m gay」的按鈕,然後在全屏和全音量下觀看相對較短(約10分鐘)的同性戀色情視頻。如果你在考慮作弊 - 不要。 我們會發現這一點(我在後面分析之後發現他們確實可以做到這一點...)如果您關閉揚聲器,監視器,無論如何 - 密鑰將被刪除。如果您在屏幕上看到提示時沒有按空格鍵 - 該密鑰將被刪除。

我靠,好狠啊,鑒於我的關注者中有人曾經對這類Gay里Gay氣的東西很感興趣,所以我急忙找到樣本然後開始了分析,以期望可以看見讓大家喜氣洋洋的東西。

樣本名:Setup_RAT.exe
618fd01b5d9df3c261c4f51e1b418f14

疑似針對波蘭攻擊

其中SwampCryptoPayload.exe 就是上面的gay誘餌程序

9337b5758ee9f7a3837baab8abef7ad6

ok,迎面而來就是一個pdb二連擊

E:DevSwamp RATSwampVideoPlayerobjReleaseSwampVideoPlayer.pdb
E:DevSwamp RATSwampLibobjReleaseSwampLib.pdb

由於他的PDB特徵都這麼明顯了,那麼我就稱他為Swamp家族遠控好了。

然而,當我看到這個地方的時候

講真,尼啥也沒幹,假裝你是勒索軟體就嚇嚇老子哦媽耶。

好吧看來可能就是可玩笑罷了。

正當我回復完老窯頭說這是個假的,沒有gay片的時候,老哥我的手微微顫抖的把ChaIner.exe拖進了dnspy,然後看見了曙光。

開心的把我們的遠控DLL請進虛擬機

更新部分

更新文本

想了想既然有update,那麼肯定tm是opendir

查找了一下果然發現掛滿了東西

然後我們看見了什麼,Video,你們最想看見的Video.exe

然後我輸入了上面的地址,渴望給我返回來什麼好東西。

OH,絕望

隨便一提的,上面那個video.player 應該是用來騙Gay們的,以此誘騙他們運行SwampCapUMode.exe

因此我按他的流程執行了一遍,先執行SwampCapUMode,然後再打開那個連接程序,然後再輸入127.0.0.1。

然後我終於明白上面那個程序是什麼意思了。。

尼瑪窺屏器發上來干毛啊!

不過後來想了想,可能攻擊者在投放的時候就已經放了一個ip地址在備註里(估計這播放器還是收費的),然後那個IP地址指向的可能是一個播放著Gay片的屏幕,然後受害者還莫名其妙的被成功監聽8090埠,然後也許被另一個人看著自己在看Gay片。

然後再打開了一個Swamp_RAT.exe,oh,怎麼啥都往上面放。

忽然覺得這玩意不會是開源改的吧,畢竟叫沼澤鼠的東西也挺多了

找了找發現了一個以linux版本命名的,然而並不是

看到這,感覺這一套東西的攻擊邏輯,大致為,在投放木馬後,受害者打開,然後訪問C2,攻擊者通過C2日誌獲取IP地址,然後再用那個工具連IP的8090埠,並發遠控指令,指令就像下面的說明文檔一樣用cmd連對應受害者的IP地址,不過他這只是改成了8090罷了。

因為從這個遠控的說明文檔就可以看出,這一套東西都是不知道在哪買的遠控,不過也可能是我能力有限沒找見,如果有眼熟的大佬可以友情後台留言提醒一下。(反正不懂攻擊者全傳上來的意義在哪)

最後,該站點大概率是一個正常網站,感覺原來網站上的opendir感覺和放木馬的dir的風格很是相似,大概率滲透入口點是這。

網站擁有者是一個強壯的日本男子,程序能力一流

等等,CTO...看來安全措施做的還不夠啊

當然,作為老實人我還是在推上@了他一下。

誰知道是不是他自己弄來鬧著玩。

總結

切記小心,不要為了一時的腦充血點擊了不該點的東西。

木馬簡單,但是VT居然只有2家報,並且誘餌很牛逼,社工手段也有,我覺得整一套看下來,還是可以學習學習的。

這作者太過分,沒給大家看點想看的東西...

最後感謝大家一直以來的關注!

IOC:

https://nikuman.eu/rat/SwampLib.dll
https://nikuman.eu/rat/SwampService.exe

Swamp:

610d3438e28db2767441bab4ce186595
7f266373199bc7a4ee70b1cebaf50a25
7ccb088eefbf464d0a467d0ff4c619da
1004d9c8130cb6458950ca020226f244
618fd01b5d9df3c261c4f51e1b418f14
6d53ca011642ef747bdbc4b205e84752
a9693692c8c8d48130d406f89f2c8d17
9337b5758ee9f7a3837baab8abef7ad6
57757be15eadd6aafe751fd8201b4e3c
6b16a98eb67f2993f94d05060f9465f7
7f266373199bc7a4ee70b1cebaf50a25
618fd01b5d9df3c261c4f51e1b418f14
9337b5758ee9f7a3837baab8abef7ad6

PDB:

E:DevSwamp RATSwampVideoPlayerobjReleaseSwampVideoPlayer.pdb
E:DevSwamp RATSwampLibobjReleaseSwampLib.pdb

我是網路安全公司知道創宇,歡迎訪問我們。也歡迎關注我們的公眾號knownsec818。

推薦閱讀:

相关文章