转载一篇非(gay)常(里)有(gay)趣(气)的文章。欢迎阅读??

--------正文分割线--------

作者:黑鸟

原文链接:mp.weixin.qq.com/s/QqpN

今天逛窑子,看见老窑头发了张图片,大致如下:

Oh SHIT!

你的文件都被加密了,糟透了?那就是当你在阴暗的网站上观看色情时会发生的事情。你的文件已经被我们用AES-256加密啦,你没办法解密啦。你如果不信,你可以点击下面的查看损坏文件按钮。幸运的是,这里有一个办法可以让你的可以把文件恢复,然后不用你付任何钱。那么就是,你点击 「I』m gay」的按钮,然后在全屏和全音量下观看相对较短(约10分钟)的同性恋色情视频。如果你在考虑作弊 - 不要。 我们会发现这一点(我在后面分析之后发现他们确实可以做到这一点...)如果您关闭扬声器,监视器,无论如何 - 密钥将被删除。如果您在屏幕上看到提示时没有按空格键 - 该密钥将被删除。

我靠,好狠啊,鉴于我的关注者中有人曾经对这类Gay里Gay气的东西很感兴趣,所以我急忙找到样本然后开始了分析,以期望可以看见让大家喜气洋洋的东西。

样本名:Setup_RAT.exe
618fd01b5d9df3c261c4f51e1b418f14

疑似针对波兰攻击

其中SwampCryptoPayload.exe 就是上面的gay诱饵程序

9337b5758ee9f7a3837baab8abef7ad6

ok,迎面而来就是一个pdb二连击

E:DevSwamp RATSwampVideoPlayerobjReleaseSwampVideoPlayer.pdb
E:DevSwamp RATSwampLibobjReleaseSwampLib.pdb

由于他的PDB特征都这么明显了,那么我就称他为Swamp家族远控好了。

然而,当我看到这个地方的时候

讲真,尼啥也没干,假装你是勒索软体就吓吓老子哦妈耶。

好吧看来可能就是可玩笑罢了。

正当我回复完老窑头说这是个假的,没有gay片的时候,老哥我的手微微颤抖的把ChaIner.exe拖进了dnspy,然后看见了曙光。

开心的把我们的远控DLL请进虚拟机

更新部分

更新文本

想了想既然有update,那么肯定tm是opendir

查找了一下果然发现挂满了东西

然后我们看见了什么,Video,你们最想看见的Video.exe

然后我输入了上面的地址,渴望给我返回来什么好东西。

OH,绝望

随便一提的,上面那个video.player 应该是用来骗Gay们的,以此诱骗他们运行SwampCapUMode.exe

因此我按他的流程执行了一遍,先执行SwampCapUMode,然后再打开那个连接程序,然后再输入127.0.0.1。

然后我终于明白上面那个程序是什么意思了。。

尼玛窥屏器发上来干毛啊!

不过后来想了想,可能攻击者在投放的时候就已经放了一个ip地址在备注里(估计这播放器还是收费的),然后那个IP地址指向的可能是一个播放著Gay片的屏幕,然后受害者还莫名其妙的被成功监听8090埠,然后也许被另一个人看著自己在看Gay片。

然后再打开了一个Swamp_RAT.exe,oh,怎么啥都往上面放。

忽然觉得这玩意不会是开源改的吧,毕竟叫沼泽鼠的东西也挺多了

找了找发现了一个以linux版本命名的,然而并不是

看到这,感觉这一套东西的攻击逻辑,大致为,在投放木马后,受害者打开,然后访问C2,攻击者通过C2日志获取IP地址,然后再用那个工具连IP的8090埠,并发远控指令,指令就像下面的说明文档一样用cmd连对应受害者的IP地址,不过他这只是改成了8090罢了。

因为从这个远控的说明文档就可以看出,这一套东西都是不知道在哪买的远控,不过也可能是我能力有限没找见,如果有眼熟的大佬可以友情后台留言提醒一下。(反正不懂攻击者全传上来的意义在哪)

最后,该站点大概率是一个正常网站,感觉原来网站上的opendir感觉和放木马的dir的风格很是相似,大概率渗透入口点是这。

网站拥有者是一个强壮的日本男子,程序能力一流

等等,CTO...看来安全措施做的还不够啊

当然,作为老实人我还是在推上@了他一下。

谁知道是不是他自己弄来闹著玩。

总结

切记小心,不要为了一时的脑充血点击了不该点的东西。

木马简单,但是VT居然只有2家报,并且诱饵很牛逼,社工手段也有,我觉得整一套看下来,还是可以学习学习的。

这作者太过分,没给大家看点想看的东西...

最后感谢大家一直以来的关注!

IOC:

https://nikuman.eu/rat/SwampLib.dll
https://nikuman.eu/rat/SwampService.exe

Swamp:

610d3438e28db2767441bab4ce186595
7f266373199bc7a4ee70b1cebaf50a25
7ccb088eefbf464d0a467d0ff4c619da
1004d9c8130cb6458950ca020226f244
618fd01b5d9df3c261c4f51e1b418f14
6d53ca011642ef747bdbc4b205e84752
a9693692c8c8d48130d406f89f2c8d17
9337b5758ee9f7a3837baab8abef7ad6
57757be15eadd6aafe751fd8201b4e3c
6b16a98eb67f2993f94d05060f9465f7
7f266373199bc7a4ee70b1cebaf50a25
618fd01b5d9df3c261c4f51e1b418f14
9337b5758ee9f7a3837baab8abef7ad6

PDB:

E:DevSwamp RATSwampVideoPlayerobjReleaseSwampVideoPlayer.pdb
E:DevSwamp RATSwampLibobjReleaseSwampLib.pdb


我是网路安全公司知道创宇,欢迎访问我们。也欢迎关注我们的公众号knownsec818。

推荐阅读:

相关文章