47

Пасхалка к 2 серии 3 сезона Mr.Robot

В продолжение темы на securitylab <<(клик)

хотелось бы добавить собственно, саму пасхалочку.


Советую сначала посмотреть, ибо

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Итак...Мы видим как Дарлин возится у монитора Элиота.

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Это вызывает подозрения, и наводит нас на дальнейшую мысль что именно она делает.


Пока элиот спит, второе Я Mr.Robot ловит ее на этом деле, и начинает допрашивать, что она только что делала. Та врубает несознанку и старается быстрее убежать.


Позже Элиот уже в курсе о том что случилось этой ночью.


И садясь очередной раз за свой комп, продумывая все в голове, решается пойти на очень интересную многоходовочку.


Дабы убедится в правоте своих мыслей, для начала он запускает RkHunter на своей машине.

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64
Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64
Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Глядя на все это дело, методом индукции у Элиота подтверждаются его догадки на счет того что дело не внутри системы... А на ее периферии.


...И тут пошла его гениальная многоходовочка...


Понимая, что за ним уже наблюдают

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

(впрочем как и нам дают понять)


Почему бы это не использовать ?!

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Ну и создает левое письмо якобы для кого-то, которое наши беспечные друзья позже и откроют...


Позже Братья наши старшие понимают что их только что поимели...

ну а это смотрим в следующей серии :D


А мы перейдем собственно к пасхалочке...

Так почему бы и нам не открыть эту ссылочку )


КЛИК

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Вот мы видим тот самый plans.rar

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Как вы уже догадались это Base64

Давайте же переведем его в бинарный вид

(сохраним его в файл для удобства)


Далее заходим в терминал и вводим команду

openssl enc -d -a -in mr.enc -out file.rar

Где mr.enc это входящий файл, а file.rar собсна исходящий

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Что же там в архиве ?

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64
Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

Ага, все ясно QR код, конечно же это будет ссылка на что то, давайте это проверим...

Закинем ка его на первый попавшийся QR декодер... например этот

Вот куда он нас отсылает

https://github.com/RedBalloonShenanigans/MonitorDarkly

Пасхалка к 2 серии 3 сезона Mr.Robot Сериалы, Mr Robot, Хакеры, Хакер, Пасхалка, Расшифровка, Длиннопост, Base64

О да это же как раз тот эксплойт, который прошивает монитор Dell 2410U


Кого то это как и меня не удивило, и он знал с самого начала, когда Дарлин подошла к монитору... Как догадался и наш любимый Элиот )


Вот так вот, на этот раз все. А может быть я что то упустил ? например в исходном коде того сайта ? :D ? Кто знает...

Найдены дубликаты

+5
раскрыть ветку 1
0
То то я смотрю меня ощущение дежа вю не покидает)
+4

Жаль что опоздал ) спасибо за инфу.
Сделал еще вчера, а залил сюда только сегодня...

+1

Жаль только что rkhunter не работает by design, тк действует сугубо в user-space, а еще и обновлялся в последний раз в 2014ом ) Впрочем это не то чтобы его делает хуже, на фоне существующих антируткитов, ведь их рабочих толком и нет.

раскрыть ветку 3
0

ну парочка другая есть, даже на x64 заводятся, но они все генеретики (хуки, потоки и т.д.) по сути, либо под конкретный руткит, хотя если вручную анализировать, то угрозу можно выявить, инструменты годные.

раскрыть ветку 2
0

Да, если копать конкретную машину, зная что она порутана, то тогда можно что-то и отыскать, но в пассивном режиме я не знаю рабочих решений :(

раскрыть ветку 1
-2
Я настолько не вдупляю чё там происходит, что мне любой спойлер это не спойлер.
Похожие посты
1442

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик 

В случае с иностранными пользователями злоумышленник требует выкуп в размере $2,5 тыс. в криптовалюте.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun

Разработчик вредоносного ПО Sigrun бесплатно предоставил пользователям, у которых русский язык указан в качестве основного, дешифровщик файлов. Об этом сообщил специалист по кибербезопасности Алекс Свирид (Alex Svirid) в соцсети Twitter.

Как следует из предоставленных одним из пользователей Twitter скриншотов, если в случае с американским пользователем злоумышленник потребовал выкуп в размере $2,5 тыс. в криптовалюте, то жертве из России хакер согласился помочь бесплатно.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun
Вам не придется платить. Я просто помогу тебе


Как полагают специалисты, автор вредоносного ПО сам проживает на территории РФ и подобная тактика является попыткой избежать излишнего внимания со стороны правоохранительных органов.

Вредонос Sigrun представляет собой вымогательское ПО, которое после инфицирования компьютера требует у пользователей выкуп в криптовалюте за дешифровку данных.

https://www.securitylab.ru/news/493721.php

2019

Пасхалка в Mr Robot S03E02.

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

В конце 2 серии 3-го сезона, агенты ФБР просматривают почту Эллиота и видят такое письмо. Если пройти по ссылке в письме https://sandbox.vflsruxm.net/plans.rar то можно увидеть зашифрованный текст

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

По сигнатуре понятно, что это base64

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

После декодировки, видим сигнатуру Rar и понимаем, что это архив, который надо восстановить через hex-редактор

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

После восстановления и распаковки, получаем картинку с QR-кодом

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

В коде закодирована ссылка на github

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

Это описание уязвимости для мониторов Dell. Возможно, это отсылка к следующей серии.

Пасхалка в Mr Robot S03E02. Mr Robot, Пасхалка, Сериалы, Хакеры, Длиннопост

*Слайд из презентации*

Показать полностью 5
2401

Пасхалка в Mr Robot S02E01.

Пасхалка в Mr Robot S02E01. Mr Robot, Хакеры, Сериалы, Пасхалка, Длиннопост, Habr
Пасхалка в Mr Robot S02E01. Mr Robot, Хакеры, Сериалы, Пасхалка, Длиннопост, Habr

В конце первой серии второго сезона Mr Robot есть сцена, где Дарлин генерирует троян-вымогатель с помощью модифицированного фреймворка SET (Social Engineer Toolkit). Мои пальцы просто зудели, чтобы попробовать IP-адрес 192.251.68.254, где вроде как располагается управляющий сервер трояна. Неудивительно, что WHOIS показал на владельца NBC-UNIVERSAL. Посмотрим, насколько глубока кроличья нора.

Пасхалка в Mr Robot S02E01. Mr Robot, Хакеры, Сериалы, Пасхалка, Длиннопост, Habr

Последняя страница http://i239.bxjyb2jvda.net/ выводит сообщение «YOUR PERSONAL FILES ARE ENCRYPTED» и начинает обратный отсчёт. Вы можете подождать 24 часа или просто проверить javascript, который управляет таймером обратного отсчёта, где вы найдёте строку, закодированную в base64.



PGRpdiBjbGFzcz0ib3ZlciI+PGRpdj4iSSBzaW5jZXJlbHkg


YmVsaWV2ZSB0aGF0IGJhbmtpbmcgZXN0YWJsaXNobWVudHM


gYXJlIG1vcmUgZGFuZ2Vyb3VzIHRoYW4gc3RhbmRpbmcgYXJta


WVzLCBhbmQgdGhhdCB0aGUgcHJpbmNpcGxlIG9mIHNwZW5k


aW5nIG1vbmV5IHRvIGJlIHBhaWQgYnkgcG9zdGVyaXR5LCB1bm


RlciB0aGUgbmFtZSBvZiBmdW5kaW5nLCBpcyBidXQgc3dpbmRs


aW5nIGZ1dHVyaXR5IG9uIGEgbGFyZ2Ugc2NhbGUuIjwvZGl2Pjx


kaXYgY2xhc3M9ImF1dGhvciI+LSBUaG9tYXMgSmVmZmVyc29u


PC9zcGFuPjwvZGl2PjwvZGl2Pg==

После раскодирования выходит:


Я искренне полагаю, что банковские институты более опасны для свободы, нежели регулярные армии, и что принцип тратить деньги за счёт потомков, под названием «финансирование», ничто иное как жульничество за счёт будущего в крупном масштабе.


– Томас Джефферсон



Кстати, изучив SSL-сертификат веб-сервера NBC-UNIVERSAL, я обнаружил массу других доменов, которые имеют отношение к Mr Server., указанных в поле Subject Alternative Names.



DNS Name=www.racksure.com


DNS Name=racksure.com


DNS Name=*.serverfarm.evil-corp-usa.com


DNS Name=www.e-corp-usa.com


DNS Name=iammrrobot.com


DNS Name=www.conficturaindustries.com


DNS Name=www.iammrrobot.com


DNS Name=*.seeso.com


DNS Name=*.evil-corp-usa.com


DNS Name=e-corp-usa.com


DNS Name=*.bxjyb2jvda.net


DNS Name=whoismrrobot.com


DNS Name=seeso.com


DNS Name=fsoc.sh


DNS Name=www.fsoc.sh


DNS Name=conficturaindustries.com


DNS Name=whereismrrobot.com


DNS Name=www.whoismrrobot.com


DNS Name=www.whereismrrobot.com


DNS Name=evil-corp-usa.com


DNS Name=www.seeso.com


В начале первой серии второго сезона вы также заметите, как Эллиот логинится на bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com по SSH.


Что касается задачки на https://fsoc.sh:

Если посмотрите на эту страничку, то заметите, что курсор мигает через разные интервалы.


На самом деле несложно понять, что это код Морзе, но я крайне плох в решении таких загадок вручную. Поэтому решил применить более техничный способ.



https://www.fsoc.sh/assets/main.js

addHandlers: function() {
var t = this;
this.$(".eye__form").on("submit", this.handleSubmit), this.textView.on("typingEnded", function() {
t.appendEye(), t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw==")
})
},


startCursor: function(t) {
var e = this;
e.$(".eye__cursor").css("opacity", 0).removeClass("typing"), setTimeout(function() {
e.handleBlinkTime(window.atob(t), 0)
}, 500)
},
handleBlinkTime: function(t, e) {
var n = 300,
r = t.charAt(e),
i = 0,
o = n;
switch (r) {
case "9":
i = 3 * n;
break;
case "3":
i = n;
break;
case "5":
o = 3 * n;
break;
case "7":
o = 7 * n
}
var u = this;
i && u.$(".eye__cursor").css("opacity", 1), setTimeout(function() {
u.$(".eye__cursor").css("opacity", 0), setTimeout(function() {
t.length > e + 1 ? u.handleBlinkTime(t, e + 1) : setTimeout(function() {
u.handleBlinkTime(t, 0)
}, 4e3)
}, o)
}, i)

Собственно, скорость мерцания курсора контролирует t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw=="), и если конверитровать в ASCII, то получается 3933535395333953799537333353539353.



3 это точка "."


5 разделяет буквы " "


7 представляет собой разделитель "/" в коде Морзе


а 9 это тире "-"



3933535395333953799537333353539353


.-…. .- ...- ./-- ./…. .-.. == LEAVE ME HERE


Нужно добавить, что во втором сезоне сериал сохранил крайнюю реалистичность компьютерных сцен. Каждый взлом и операция выполняются в правильной последовательности и с использованием корректных инструментов. В первом сезоне мы видели операционку Kali Linux, использование уязвимости bashdoor (shellshock) для получения файла /etc/passwd, взлом автомобильной CAN-шины с использованием утилиты candump, сканирование окружающих устройство с активным Bluetooth утилитой btscanner из комплекта Kali Linux, использование снифера bluesniff для MiTM-атаки с последующим запуском оболочки Meterpreter.


В первой серии второго сезона все технические тонкости — фреймворк SET, ransomware, логи IRC, клиент BitchX и прочее — тоже показаны вполне достоверно.


Ремарка: В одном из кадров мелькает QR-код, который указывает на один из доменов списка, приведённого выше: http://www.conficturaindustries.com.

Пасхалка в Mr Robot S02E01. Mr Robot, Хакеры, Сериалы, Пасхалка, Длиннопост, Habr

Код плохо распознаётся с кадра, вот чёткая копия:

Пасхалка в Mr Robot S02E01. Mr Robot, Хакеры, Сериалы, Пасхалка, Длиннопост, Habr

Судя по всему, будущие серии Mr Robot тоже не останутся без пасхалок.


Технические консультанты Mr Robot из хакерского сообщества: @KorAdana, @ryankaz42, @AndreOnCyber, @MOBLAgentP, @IntelTechniques, @marcwrogers.

Показать полностью 2
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: