今天逛窑子，看见老窑头发了张图片，大致如下：

Oh SHIT！

你的文件都被加密了, 糟透了?

那就是当你在阴暗的网站上观看色情时会发生的事情。

你的文件已经被我们用 AES-256 加密啦，你没办法解密啦。

你如果不信，你可以点击下面的查看损坏文件按钮。

幸运的是，这里有一个办法可以让你的可以把文件恢复，然后不用你付任何钱。

那么就是，你点击 「I』m gay」的按钮，然后**在全屏和全音量下**观看相对较短（约 10 分钟）的同性恋色情视频

如果你在考虑作弊 - 不要。我们会发现这一点（我在后面分析之后发现他们确实可以做到这一点。。）。如果您关闭扬声器，监视器，无论如何 - 密钥将被删除。如果您在屏幕上看到提示时没有按空格键 - 该密钥将被删除。

我靠，好狠啊，鉴于我的关注者中有人曾经对这类 Gay 里 Gay 气的东西很感兴趣，所以我急忙找到样本然后开始了分析，以期望可以看见让大家喜气洋洋的东西。

样本名：Setup_RAT.exe

618fd01b5d9df3c261c4f51e1b418f14

疑似针对波兰攻击

其中 SwampCryptoPayload.exe 就是上面的 gay 诱饵程序

9337b5758ee9f7a3837baab8abef7ad6

ok，迎面而来就是一个 pdb 二连击

E:\Dev\Swamp RAT\SwampVideoPlayer\obj\Release\SwampVideoPlayer.pdb

E:\Dev\Swamp RAT\SwampLib\obj\Release\SwampLib.pdb

由于他的 PDB 特征都这么明显了，那么我就称他为Swamp 家族远控好了。

然而，当我看到这个地方的时候

讲真，尼啥也没干，假装你是勒索软件就吓吓老子哦妈耶。

好吧看来可能就是可玩笑罢了。

正当我回复完老窑头说这是个假的，没有 gay 片的时候，老哥我的手微微颤抖的把 ChaIner.exe 拖进了 dnspy，然后看见了曙光。

开心的把我们的远控 DLL 请进虚拟机

更新部分

更新文本

想了想既然有 update，那么肯定 tm 是 opendir

查找了一下果然发现挂满了东西

然后我们看见了什么，Video，你们最想看见的 Video.exe

然后我输入了上面的地址，渴望给我返回来什么好东西。

OH，绝望

随便一提的，上面那个 video.player 应该是用来骗 Gay 们的，以此诱骗他们运行 SwampCapUMode.exe

因此我按他的流程执行了一遍，先执行 SwampCapUMode，然后再打开那个连接程序，然后再输入 127.0.0.1。

然后我终于明白上面那个程序是什么意思了。。

尼玛窥屏器发上来干毛啊！

不过后来想了想，可能攻击者在投放的时候就已经放了一个 ip 地址在备注里 (估计这播放器还是收费的)，然后那个 IP 地址指向的可能是一个播放着 Gay 片的屏幕，然后受害者还莫名其妙的被成功监听 8090 端口，然后也许被另一个人看着自己在看 Gay 片。。

然后再打开了一个 Swamp_RAT.exe，oh，怎么啥都往上面放。。

忽然觉得这玩意不会是开源改的吧，毕竟叫沼泽鼠的东西也挺多了

找了找发现了一个以 linux 版本命名的，然而并不是

看到这，感觉这一套东西的攻击逻辑，大致为，在投放木马后，受害者打开，然后访问 C2，攻击者通过 C2 日志获取 IP 地址，然后再用那个工具连 IP 的 8090 端口，并发远控指令，指令就像下面的说明文档一样用 cmd 连对应受害者的 IP 地址，不过他这只是改成了 8090 罢了。

因为从这个远控的说明文档就可以看出，这一套东西都是不知道在哪买的远控，不过也可能是我能力有限没找见，如果有眼熟的大佬可以友情后台留言提醒一下。（反正不懂攻击者全传上来的意义在哪）

最后，该站点大概率是一个正常网站，感觉原来网站上的 opendir 感觉和放木马的 dir 的风格很是相似，大概率渗透入口点是这。

网站拥有者是一个强壮的日本男子，程序能力一流

等等，CTO... 看来安全措施做的还不够啊

当然，作为老实人我还是在推上 @ 了他一下。

谁知道是不是他自己弄来闹着玩。

总结

切记小心，不要为了一时的脑充血点击了不该点的东西。

木马简单，但是 VT 居然只有 2 家报，并且诱饵很牛逼，社工手段也有，我觉得整一套看下来，还是可以学习学习的。

IOC：

https://nikuman.eu/rat/SwampLib.dll

https://nikuman.eu/rat/SwampService.exe

Swamp

610d3438e28db2767441bab4ce186595

7f266373199bc7a4ee70b1cebaf50a25

7ccb088eefbf464d0a467d0ff4c619da

1004d9c8130cb6458950ca020226f244

618fd01b5d9df3c261c4f51e1b418f14

6d53ca011642ef747bdbc4b205e84752

a9693692c8c8d48130d406f89f2c8d17

9337b5758ee9f7a3837baab8abef7ad6

57757be15eadd6aafe751fd8201b4e3c

6b16a98eb67f2993f94d05060f9465f7

7f266373199bc7a4ee70b1cebaf50a25

618fd01b5d9df3c261c4f51e1b418f14

9337b5758ee9f7a3837baab8abef7ad6

PDB：

E:\Dev\Swamp RAT\SwampVideoPlayer\obj\Release\SwampVideoPlayer.pdb

E:\Dev\Swamp RAT\SwampLib\obj\Release\SwampLib.pdb