Перевод Crypto-CTF "TryHackMe Sakura"

Данный материал переводом видеозаписи Motasem Hamdan.

В данном CTF будет рассмотрено применение OSINT, для идентификации персональных данных хакера.

Ознакомиться с CTF можно здесь.

Вот исходная ситуация и наша задача:

Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.

Вот фотография, которую оставил нам хакер.

Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так:

$ strings sakurapwnedletter.svg | less

Кликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAiko

SakuraSnowAngelAiko - это первый ответ в CTF

Теперь CTF ставить перед нами вопрос, какой у хакера емейл и как его зовут?

Обратимся к гуглу и посмотрим, что он нам выдаст.

Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.

https://github.com/sakurasnowangelaiko

Бинго.

Теперь обратимся к его PGP.

https://github.com/sakurasnowangelaiko/PGP/commit/df43e6813e861a01fe3a9996214b01fe5e95c81c

Расшифровать его нам поможет вот эта тулза

Смотрим на выдачу:

Еще один ответ на CTF SakuraSnowAngel183@protonmail.com

Что ж, дальше сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.

В его активности можем увидеть, что он пользуется Эфиром

Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.

Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.

Для этого нам потребуется сервис EtherScan. Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.

Там же мы можем видеть, что хакер отправлял с своего кошелька Tether

Следующая вводная такова, хакер просек, что мы его ищем и скидывает нам следующее сообщение:

Конечно на этом этапе, мы уже понимаем, что Айко имбицил, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.

Следующий вопрос, также указывает на iq - 100 у нашего “объекта” исследования, а именно: НА КАКОМ ЮРЛ ХАКЕР ХРАНИТ ПАРОЛИ. Казалось бы задачка уже на уровне CIA, но нет. Все проще.

Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.

Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.

Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.

Работает. Нужный ввод DK1F-G (на сайте надо регаться, но это того стоит)

Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.

Необходимо найти:

Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.

Последняя фотка сделанная перед перелётом выглядит так:

Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.

А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.

Озеро устанавливается по простому поиску в Google Earth

Ну а где же живет наш хакер?

Мы уже знаем ответ из этой картинки:

Что ж. Если вас осталось, что-то не понятно, прошу просмотреть видео самим, там все доходчиво объясняется:

Это была славная охота ;)

Schwarz_Osint