求大佬路过点个关注转个发
今天逛窑子,看见老窑头发了张图片,大致如下:
Oh SHIT!
你的文件都被加密了,糟透了?
那就是当你在阴暗的网站上观看色情时会发生的事情。
你的文件已经被我们用AES-256加密啦,你没办法解密啦。
你如果不信,你可以点击下面的查看损坏文件按钮。
幸运的是,这里有一个办法可以让你的可以把文件恢复,然后不用你付任何钱。
那么就是,你点击 “I’m gay”的按钮,然后在全屏和全音量下观看相对较短(约10分钟)的同性恋色情视频
如果你在考虑作弊 - 不要。 我们会发现这一点(我在后面分析之后发现他们确实可以做到这一点。。)。 如果您关闭扬声器,监视器,无论如何 - 密钥将被删除。如果您在屏幕上看到提示时没有按空格键 - 该密钥将被删除。
我靠,好狠啊,鉴于我的关注者中有人曾经对这类Gay里Gay气的东西很感兴趣,所以我急忙找到样本然后开始了分析,以期望可以看见让大家喜气洋洋的东西。
样本名:Setup_RAT.exe
618fd01b5d9df3c261c4f51e1b418f14
疑似针对波兰攻击
其中SwampCryptoPayload.exe 就是上面的gay诱饵程序
9337b5758ee9f7a3837baab8abef7ad6
ok,迎面而来就是一个pdb二连击
E:\Dev\Swamp RAT\SwampVideoPlayer\obj\Release\SwampVideoPlayer.pdb
E:\Dev\Swamp RAT\SwampLib\obj\Release\SwampLib.pdb
由于他的PDB特征都这么明显了,那么我就称他为Swamp家族远控好了。
然而,当我看到这个地方的时候
讲真,尼啥也没干,假装你是勒索软件就吓吓老子哦妈耶。
好吧看来可能就是可玩笑罢了。
正当我回复完老窑头说这是个假的,没有gay片的时候,老哥我的手微微颤抖的把ChaIner.exe拖进了dnspy,然后看见了曙光。
开心的把我们的远控DLL请进虚拟机
更新部分
更新文本
想了想既然有update,那么肯定tm是opendir
查找了一下果然发现挂满了东西
然后我们看见了什么,Video,你们最想看见的Video.exe
然后我输入了上面的地址,渴望给我返回来什么好东西。
OH,绝望
随便一提的,上面那个video.player 应该是用来骗Gay们的,以此诱骗他们运行SwampCapUMode.exe
因此我按他的流程执行了一遍,先执行SwampCapUMode,然后再打开那个连接程序,然后再输入127.0.0.1。
然后我终于明白上面那个程序是什么意思了。。
尼玛窥屏器发上来干毛啊!
不过后来想了想,可能攻击者在投放的时候就已经放了一个ip地址在备注里(估计这播放器还是收费的),然后那个IP地址指向的可能是一个播放着Gay片的屏幕,然后受害者还莫名其妙的被成功监听8090端口,然后也许被另一个人看着自己在看Gay片。。
然后再打开了一个Swamp_RAT.exe,oh,怎么啥都往上面放。。
忽然觉得这玩意不会是开源改的吧,毕竟叫沼泽鼠的东西也挺多了
找了找发现了一个以linux版本命名的,然而并不是
看到这,感觉这一套东西的攻击逻辑,大致为,在投放木马后,受害者打开,然后访问C2,攻击者通过C2日志获取IP地址,然后再用那个工具连IP的8090端口,并发远控指令,指令就像下面的说明文档一样用cmd连对应受害者的IP地址,不过他这只是改成了8090罢了。
因为从这个远控的说明文档就可以看出,这一套东西都是不知道在哪买的远控,不过也可能是我能力有限没找见,如果有眼熟的大佬可以友情后台留言提醒一下。(反正不懂攻击者全传上来的意义在哪)
最后,该站点大概率是一个正常网站,感觉原来网站上的opendir感觉和放木马的dir的风格很是相似,大概率渗透入口点是这。
网站拥有者是一个强壮的日本男子,程序能力一流
等等,CTO...看来安全措施做的还不够啊
当然,作为老实人我还是在推上@了他一下。
谁知道是不是他自己弄来闹着玩。
总结
切记小心,不要为了一时的脑充血点击了不该点的东西。
木马简单,但是VT居然只有2家报,并且诱饵很牛逼,社工手段也有,我觉得整一套看下来,还是可以学习学习的。
为了回馈看到这里的粉丝们,主要这马作者太过分,没给大家看点想看的东西,因此给大家送个图片,感谢大家的关注,祝你们周末愉快,再见!
福利明天早上起床你就知道了
IOC:
https://nikuman.eu/rat/SwampLib.dll
https://nikuman.eu/rat/SwampService.exe
Swamp
610d3438e28db2767441bab4ce186595
7f266373199bc7a4ee70b1cebaf50a25
7ccb088eefbf464d0a467d0ff4c619da
1004d9c8130cb6458950ca020226f244
618fd01b5d9df3c261c4f51e1b418f14
6d53ca011642ef747bdbc4b205e84752
a9693692c8c8d48130d406f89f2c8d17
9337b5758ee9f7a3837baab8abef7ad6
57757be15eadd6aafe751fd8201b4e3c
6b16a98eb67f2993f94d05060f9465f7
7f266373199bc7a4ee70b1cebaf50a25
618fd01b5d9df3c261c4f51e1b418f14
9337b5758ee9f7a3837baab8abef7ad6
PDB:
E:\Dev\Swamp RAT\SwampVideoPlayer\obj\Release\SwampVideoPlayer.pdb
E:\Dev\Swamp RAT\SwampLib\obj\Release\SwampLib.pdb
历史看点:
欢迎点击下面图片,加入知识星球,获取更多情报姿势。
喜欢的朋友可以点赞转发,感谢支持