Mr Robot

Постов: 7 Рейтинг: 8721
630

Пасхалка в Mr Robot S03E02.

Развернуть
Пасхалка в Mr Robot S03E02.
В конце 2 серии 3-го сезона, агенты ФБР просматривают почту Эллиота и видят такое письмо. Если пройти по ссылке в письме https://sandbox.vflsruxm.net/plans.rar то можно увидеть зашифрованный текст
Пасхалка в Mr Robot S03E02.
По сигнатуре понятно, что это base64
Пасхалка в Mr Robot S03E02.
После декодировки, видим сигнатуру Rar и понимаем, что это архив, который надо восстановить через hex-редактор
Пасхалка в Mr Robot S03E02.
После восстановления и распаковки, получаем картинку с QR-кодом
Пасхалка в Mr Robot S03E02.
В коде закодирована ссылка на github
Пасхалка в Mr Robot S03E02.
Это описание уязвимости для мониторов Dell. Возможно, это отсылка к следующей серии.
Пасхалка в Mr Robot S03E02.
*Слайд из презентации*
1349

Пасхалка в Mr Robot S02E01.

Развернуть
Пасхалка в Mr Robot S02E01.
Пасхалка в Mr Robot S02E01.
В конце первой серии второго сезона Mr Robot есть сцена, где Дарлин генерирует троян-вымогатель с помощью модифицированного фреймворка SET (Social Engineer Toolkit). Мои пальцы просто зудели, чтобы попробовать IP-адрес 192.251.68.254, где вроде как располагается управляющий сервер трояна. Неудивительно, что WHOIS показал на владельца NBC-UNIVERSAL. Посмотрим, насколько глубока кроличья нора.
Пасхалка в Mr Robot S02E01.
Последняя страница http://i239.bxjyb2jvda.net/ выводит сообщение «YOUR PERSONAL FILES ARE ENCRYPTED» и начинает обратный отсчёт. Вы можете подождать 24 часа или просто проверить javascript, который управляет таймером обратного отсчёта, где вы найдёте строку, закодированную в base64.


PGRpdiBjbGFzcz0ib3ZlciI+PGRpdj4iSSBzaW5jZXJlbHkg

YmVsaWV2ZSB0aGF0IGJhbmtpbmcgZXN0YWJsaXNobWVudHM

gYXJlIG1vcmUgZGFuZ2Vyb3VzIHRoYW4gc3RhbmRpbmcgYXJta

WVzLCBhbmQgdGhhdCB0aGUgcHJpbmNpcGxlIG9mIHNwZW5k

aW5nIG1vbmV5IHRvIGJlIHBhaWQgYnkgcG9zdGVyaXR5LCB1bm

RlciB0aGUgbmFtZSBvZiBmdW5kaW5nLCBpcyBidXQgc3dpbmRs

aW5nIGZ1dHVyaXR5IG9uIGEgbGFyZ2Ugc2NhbGUuIjwvZGl2Pjx

kaXYgY2xhc3M9ImF1dGhvciI+LSBUaG9tYXMgSmVmZmVyc29u

PC9zcGFuPjwvZGl2PjwvZGl2Pg==
После раскодирования выходит:

Я искренне полагаю, что банковские институты более опасны для свободы, нежели регулярные армии, и что принцип тратить деньги за счёт потомков, под названием «финансирование», ничто иное как жульничество за счёт будущего в крупном масштабе.

– Томас Джефферсон


Кстати, изучив SSL-сертификат веб-сервера NBC-UNIVERSAL, я обнаружил массу других доменов, которые имеют отношение к Mr Server., указанных в поле Subject Alternative Names.


DNS Name=www.racksure.com

DNS Name=racksure.com

DNS Name=*.serverfarm.evil-corp-usa.com

DNS Name=www.e-corp-usa.com

DNS Name=iammrrobot.com

DNS Name=www.conficturaindustries.com

DNS Name=www.iammrrobot.com

DNS Name=*.seeso.com

DNS Name=*.evil-corp-usa.com

DNS Name=e-corp-usa.com

DNS Name=*.bxjyb2jvda.net

DNS Name=whoismrrobot.com

DNS Name=seeso.com

DNS Name=fsoc.sh

DNS Name=www.fsoc.sh

DNS Name=conficturaindustries.com

DNS Name=whereismrrobot.com

DNS Name=www.whoismrrobot.com

DNS Name=www.whereismrrobot.com

DNS Name=evil-corp-usa.com

DNS Name=www.seeso.com

В начале первой серии второго сезона вы также заметите, как Эллиот логинится на bkuw300ps345672-cs30.serverfarm.evil-corp-usa.com по SSH.

Что касается задачки на https://fsoc.sh:
Если посмотрите на эту страничку, то заметите, что курсор мигает через разные интервалы.

На самом деле несложно понять, что это код Морзе, но я крайне плох в решении таких загадок вручную. Поэтому решил применить более техничный способ.


https://www.fsoc.sh/assets/main.js
Собственно, скорость мерцания курсора контролирует t.startCursor("MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw=="), и если конверитровать в ASCII, то получается 3933535395333953799537333353539353.


3 это точка "."

5 разделяет буквы " "

7 представляет собой разделитель "/" в коде Морзе

а 9 это тире "-"


3933535395333953799537333353539353

.-…. .- ...- ./-- ./…. .-.. == LEAVE ME HERE

Нужно добавить, что во втором сезоне сериал сохранил крайнюю реалистичность компьютерных сцен. Каждый взлом и операция выполняются в правильной последовательности и с использованием корректных инструментов. В первом сезоне мы видели операционку Kali Linux, использование уязвимости bashdoor (shellshock) для получения файла /etc/passwd, взлом автомобильной CAN-шины с использованием утилиты candump, сканирование окружающих устройство с активным Bluetooth утилитой btscanner из комплекта Kali Linux, использование снифера bluesniff для MiTM-атаки с последующим запуском оболочки Meterpreter.

В первой серии второго сезона все технические тонкости — фреймворк SET, ransomware, логи IRC, клиент BitchX и прочее — тоже показаны вполне достоверно.

Ремарка: В одном из кадров мелькает QR-код, который указывает на один из доменов списка, приведённого выше: http://www.conficturaindustries.com.
Пасхалка в Mr Robot S02E01.
Код плохо распознаётся с кадра, вот чёткая копия:
Пасхалка в Mr Robot S02E01.
Судя по всему, будущие серии Mr Robot тоже не останутся без пасхалок.

Технические консультанты Mr Robot из хакерского сообщества: @KorAdana, @ryankaz42, @AndreOnCyber, @MOBLAgentP, @IntelTechniques, @marcwrogers.
2584

Добро пожаловать в fsociety...

Развернуть
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
Добро пожаловать в fsociety...
525

Всё просто

Развернуть
Всё просто
300

Mr Robot TV Mr. Robot (TV Series)

Развернуть
Mr Robot TV Mr. Robot (TV Series)
90

Mr Robot DDoS map

Развернуть
Mr Robot DDoS map
3243

10 инструментов хакера из сериала Mr. Robot

Развернуть
10 инструментов хакера из сериала Mr. Robot