Перевод Crypto-CTF "TryHackMe Sakura"
Schwarz_Osint
0xf37c
October 4th, 2022

Данный материал переводом видеозаписи Motasem Hamdan.

В данном CTF будет рассмотрено применение OSINT, для идентификации персональных данных хакера.

Ознакомиться с CTF можно здесь.

Вот исходная ситуация и наша задача:

Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.

Вот фотография, которую оставил нам хакер.
Вот фотография, которую оставил нам хакер.

Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так:

$ strings sakurapwnedletter.svg | less
Вот так будет выглядеть выдача
Вот так будет выглядеть выдача

Кликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAiko

SakuraSnowAngelAiko - это первый ответ в CTF
SakuraSnowAngelAiko - это первый ответ в CTF
Теперь CTF ставить перед нами вопрос, какой у хакера емейл и как его зовут?
Теперь CTF ставить перед нами вопрос, какой у хакера емейл и как его зовут?

Обратимся к гуглу и посмотрим, что он нам выдаст.

Не густо, но с этим можно работать
Не густо, но с этим можно работать
Что ж, добрый день, Aiko Abe
Что ж, добрый день, Aiko Abe

Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.

Бинго.

Теперь обратимся к его PGP.

Расшифровать его нам поможет вот эта тулза

Смотрим на выдачу:

Еще один ответ на CTF SakuraSnowAngel183@protonmail.com
Еще один ответ на CTF SakuraSnowAngel183@protonmail.com

Что ж, дальше сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.

В его активности можем увидеть, что он пользуется Эфиром
В его активности можем увидеть, что он пользуется Эфиром
Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.
Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.
0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.

Для этого нам потребуется сервис EtherScan. Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.

Можно настроить фильтр, для удобства.
Можно настроить фильтр, для удобства.

Там же мы можем видеть, что хакер отправлял с своего кошелька Tether

Следующая вводная такова, хакер просек, что мы его ищем и скидывает нам следующее сообщение:

Мощно
Мощно
Конечно на этом этапе, мы уже понимаем, что Айко имбицил, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.
Конечно на этом этапе, мы уже понимаем, что Айко имбицил, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.

Следующий вопрос, также указывает на iq - 100 у нашего “объекта” исследования, а именно: НА КАКОМ ЮРЛ ХАКЕР ХРАНИТ ПАРОЛИ. Казалось бы задачка уже на уровне CIA, но нет. Все проще.

Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.

Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.
Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.

Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.

Работает. Нужный ввод DK1F-G (на сайте надо регаться, но это того стоит)
Работает. Нужный ввод DK1F-G (на сайте надо регаться, но это того стоит)

Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.

Необходимо найти:

Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.

Последняя фотка сделанная перед перелётом выглядит так:

Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.
Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.
А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.
А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.
Озеро устанавливается по простому поиску в Google Earth
Озеро устанавливается по простому поиску в Google Earth

Ну а где же живет наш хакер?

Мы уже знаем ответ из этой картинки:

Hirosaki
Hirosaki

Что ж. Если вас осталось, что-то не понятно, прошу просмотреть видео самим, там все доходчиво объясняется:

Это была славная охота ;)

Subscribe to Schwarz_Osint
Receive the latest updates directly to your inbox.
Nft graphic
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.
Arweave Transaction
zG7Jq7e2nhDvDGC…kEXPk13lGF0q1gs
Author Address
0xf37cde2B46CaDFf…C89ae985B08d933
Content Digest
oXmDeTTmW6tk63r…Eh6OPXOCqsuZxhE
More from Schwarz_Osint
View All

Skeleton

Skeleton

Skeleton