转载

黑客军团[MR.ROBOT]第二季第一集:影片的IP地址包含彩蛋

黑客军团[MR.ROBOT]第二季第一集:影片的IP地址包含彩蛋

在黑客军团第二季第一集的结束片段,有一个场景:Darlene生成了一个带有改良SET工具集的勒索软件,看到192.251.68.254这个IP地址,我就开始手痒了,这个IP似乎是勒索软件的C2服务器地址。WHOIS一个这个IP,发现它解析到了NBC-环球(美国的一家大型媒体集团),让我们一起来看看这个兔子洞隐藏了多深。

黑客军团[MR.ROBOT]第二季第一集:影片的IP地址包含彩蛋

访问最后一个网页 http://i239.bxjyb2jvda.net ,会显示一条消息“你的私从文件被加密了”,你需要等24小时才能解密,当然也可以直接修改一下它的javascript代码将计时器关掉,在这里面,你会发现一段base64编码过的字符串:

PGRpdiBjbGFzcz0ib3ZlciI+PGRpdj4iSSBzaW5jZXJlbHkgYmVsaWV2ZSB0aGF0IGJhbmtpbmcgZXN0YWJsaXNobWVudHMgYXJlIG1vcmUgZGFuZ2Vyb3VzIHRoYW4gc3RhbmRpbmcgYXJtaWVzLCBhbmQgdGhhdCB0aGUgcHJpbmNpcGxlIG9mIHNwZW5kaW5nIG1vbmV5IHRvIGJlIHBhaWQgYnkgcG9zdGVyaXR5LCB1bmRlciB0aGUgbmFtZSBvZiBmdW5kaW5nLCBpcyBidXQgc3dpbmRsaW5nIGZ1dHVyaXR5IG9uIGEgbGFyZ2Ugc2NhbGUuIjwvZGl2PjxkaXYgY2xhc3M9ImF1dGhvciI+LSBUaG9tYXMgSmVmZmVyc29uPC9zcGFuPjwvZGl2PjwvZGl2Pg==

将其解码,可得到如下内容:

I sincerely believe that banking establishments are more dangerous than standing armies, and that the principle of spending money to be paid by posterity, under the name of funding, is but swindling futurity on a large scale.

– Thomas Jefferson

我真诚地相信,银行制度比常备军队更加危险,而以基金的名义去花费子孙后代的钱,只不过是大额骗取未来的一个借口。

– Thomas Jefferson

通过查看该web服务器的SSL证书,我在Subject Alternative Names发现了其它大量与《黑客军团》相关的域名。

DNS Name=www.racksure.com

DNS Name=racksure.com

DNS Name=*.serverfarm.evil-corp-usa.com

DNS Name=www.e-corp-usa.com

DNS Name=iammrrobot.com

DNS Name=www.conficturaindustries.com

DNS Name=www.iammrrobot.com

DNS Name=*.seeso.com

DNS Name=*.evil-corp-usa.com

DNS Name=e-corp-usa.com

DNS Name=*.bxjyb2jvda.net

DNS Name=whoismrrobot.com

DNS Name=seeso.com

DNS Name=fsoc.sh

DNS Name=www.fsoc.sh

DNS Name=conficturaindustries.com

DNS Name=whereismrrobot.com

DNS Name=www.whoismrrobot.com

DNS Name=www.whereismrrobot.com

DNS Name=evil-corp-usa.com

DNS Name=www.seeso.com 

例如在第二季第一集的开头,你可以注意到Eliot使用SSH登录到了 bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com

在https://fsoc.sh中还有另一个彩蛋:

如果你仔细看这个页面,你会发现它的指针闪烁的时间间隔并不是固定的,再稍微一想便可以发现它其实使用的是摩斯密码,不过人工破译这个东西太费劲了,我宁愿使用一些有技术性的手段。

https://www.fsoc.sh/assets/main.js  

黑客军团[MR.ROBOT]第二季第一集:影片的IP地址包含彩蛋

t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw==") 这句话就是控制指针闪烁速度的语句。将它们转换成ASCII,可以得到:

3933535395333953799537333353539353

其中,3代表点 ”.“

5是分隔符,” “

7代表摩斯电码中的”/“

9代表短破折号”-“

3933535395333953799537333353539353

破译出来就是

.-.. . .- ...- ./-- ./.... . .-. . 

即LEAVE ME HERE

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:https://0x41.no/mr-robot-s02e01-easter-egg/
原文  http://bobao.360.cn/news/detail/3314.html
正文到此结束
Loading...