在黑客军团第二季第一集的结束片段,有一个场景:Darlene生成了一个带有改良SET工具集的勒索软件,看到192.251.68.254这个IP地址,我就开始手痒了,这个IP似乎是勒索软件的C2服务器地址。WHOIS一个这个IP,发现它解析到了NBC-环球(美国的一家大型媒体集团),让我们一起来看看这个兔子洞隐藏了多深。
访问最后一个网页 http://i239.bxjyb2jvda.net,会显示一条消息:“你的私人文件被加密了”
你需要等24小时才能解密,当然也可以直接修改一下它的javascript代码将计时器关掉,在这里面,你会发现一段base64编码过的字符串:
将其解码,可得到如下内容:
I sincerely believe that banking establishments are more dangerous than standing armies, and that the principle of spending money to be paid by posterity, under the name of funding, is but swindling futurity on a large scale.
– Thomas Jefferson
“我真诚地相信,银行制度比常备军队更加危险,而以基金的名义去花费子孙后代的钱,只不过是大额骗取未来的一个借口。
– Thomas Jefferson”
通过查看该web服务器的SSL证书,我在Subject Alternative Names发现了其它大量与《黑客军团》相关的域名。
DNS Name=www.racksure.com
DNS Name=racksure.com
DNS Name=*.serverfarm.evil-corp-usa.com
DNS Name=www.e-corp-usa.com
DNS Name=iammrrobot.com
DNS Name=www.conficturaindustries.com
DNS Name=www.iammrrobot.com
DNS Name=*.seeso.com
DNS Name=*.evil-corp-usa.com
DNS Name=e-corp-usa.com
DNS Name=*.bxjyb2jvda.net
DNS Name=whoismrrobot.com
DNS Name=seeso.com
DNS Name=fsoc.sh
DNS Name=www.fsoc.sh
DNS Name=conficturaindustries.com
DNS Name=whereismrrobot.com
DNS Name=www.whoismrrobot.com
DNS Name=www.whereismrrobot.com
DNS Name=evil-corp-usa.com
DNS Name=www.seeso.com
例如在第二季第一集的开头,你可以注意到Eliot使用SSH登录到了 bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com
在https://fsoc.sh中还有另一个彩蛋:
如果你仔细看这个页面,你会发现它的指针闪烁的时间间隔并不是固定的,再稍微一想便可以发现它其实使用的是摩斯密码,不过人工破译这个东西太费劲了,我宁愿使用一些有技术性的手段。https://www.fsoc.sh/assets/main.js
t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw==") 这句话就是控制指针闪烁速度的语句。将它们转换成ASCII,可以得到:
3933535395333953799537333353539353
其中,3代表点 ”.“
5是分隔符,” “
7代表摩斯电码中的”/“
9代表短破折号”-“
3933535395333953799537333353539353
破译出来就是
.-.. . .- …- ./– ./…. . .-. .
即LEAVE ME HERE
黑客军团第二季/Mr.Robot 下载地址: