Бамжур, молодой, и не очень, человек. Хочу взять флаг в свои руки и продолжить обмен опытом, который ещё в далёком 2018 году начал мой коллега @sinner67
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
1. Философия OSINT
1. Философия OSINT
OSINT, в capture the flag соревнованиях, можно назвать разделом, в котором важно интуитивное понимание задания, основанное на опыте нарешивания. Нет какого-либо определённого шаблона, ориентируясь на который, вы могли бы решать таск. Необходимно много тренироваться, быть знакомым с различными случаями, и лишь тогда ваше подсознание будет выдвигать предположения о вероятных варианте развития событий и решениях.
Частые ошибки, совершаемые бородатыми ктф'ерами, при решении данного типа заданий, основаны, в большинстве своём, на банальной невнимательности и нелогичности сделанных доводов. Также, хочу заметить, что недостаток опыта многие пытаются компенсировать какими-то скриптами автоматизации поиска и анализа данных и любым другим ПО для осинта. Это, как мне кажется, одна из самых глупых ошибок, ведь такое компенсирование подобно тому, что вы купили самую хорошую лопату и не умеете копать чтобы то ни было)
Конечно, внимательность и аналитический склад ума это уже очень хорошая площадка для разгона. Но, для эффективного решения заданий вам необходимо уметь подразделять ЗАДАЧИ на подзадачи, и в конце, решив каждую подзадачу, строить связи между найденными данными. Именно эти факторы прокачиваются со временем.
2. Пример решения OSINT тасков
2. Пример решения OSINT тасков
Теория, это конечно хорошо, однако я люблю показывать всё на примерах. Предлогаю решить два задания, одно с HackTheBox, а другое с KubanCTF, имея при себе лишь всё ранее перечисленное и ресурсы, которыми я поделюсь с вами в конце статьи. Вот, мы тет-а-тет с заданием. У нас есть не только голова, но и интернет, который мы не забываем активно использовать. Прежде всего, определимся с тем, что собственно нам дано?
Наша цель - найти что-то, что поможет проникнуть в некоторую компанию. Исходя из этого вопрос, какие сведения могут нам в этом помочь? Что это за данные такие, которые помогут проникнуть в Evil Corp LLC? Не теряйте времени на долгие размышления, лишь держите этот вопрос у себя в голове. Позже, эти сведения сами заявят о себе, как только вы на них натолкнётесь.
На какие подцели мы можем разделить нашу единую цель?
- Сбор сведений. В данном случае, нам подсказывают, что мы можем искать их в социальных сетях. Конечно, процесс мониторинга большинства соц. сетей будет достаточно монотонной работой при поиске ручками. Здесь нам на помощь приходит умение гуглить. Мы воспользуемся дорками.
- Сортировка полученных сведений. На данном этапе мы отодвигаем в сторонку всё, что явно не подходит под определение вопроса, который мы запомнили ранее.
- Анализ оставшихся сведений. Детальное исследование; создание связей.
Следующее задание уже будет гораздо интереснее, ведь требует от ctf'ера определённых знаний в области btc. И так, что мы имеем?
Цель уже поставлена нам непосредственно в самом задании. Необходимо отталкиваться от чего-то. Этим что-то, по предположению, должен являться адрес кошелька, который на представленном билете разбит на 3 основных части (подтёртый на половину снизу и сверху, qr-код). Btc начинается с чисел 1 или 3, исходя из этого, можно предположить, что 1M1CfXLynR6.. имеющий длину в 11 символов - начало адреса. Также мы заметили другую часть адреса, состоящую из 11 символов сверху - VDQZEXHHJbb, которая является конечной частью адреса. Зная, что длина btc кошелька 34 символа, понимаем, что у нас есть нехватка 12 символов. Остаётся лишь QR, который мы так и не трогали.
По краям, в полученном результате мы видим ровно по 11 битых символов, которые, по предположению являются уже имеющимися у нас началом и концом адреса. В таком случае, оставшиеся - vqbjwTqSiiLR и будут серединой. Объединим всё в единый адрес - len(1M1CfXLynR6vqbjwTqSiiLRVDQZEXHHJbb) == 34.
Теперь у нас, по предположению, есть вполне валидный btc адрес, отталкиваясь от которого мы сможем найти необходимые сведения и связать их между собой.
На какие подзадачи можно разделить нашу основную цель?
- Поиск сведений из открытых источников. Первым делом, нам необходимо узнать, где засветился этот кошелёк.
- Анализ полученных сведений.
- Сортировка и избавление от лишнего.
- Построение связей.
Если мы просто загуглим, то в глаза сразу бросаются 3 ресурса с упоминанием данного кошелька - блокчейн, btcabuse и какое-то исследование связанное с WannaCry.
Очевидно, что по степени важности два последних ресурса напрашиваются на просмотр куда больше, чем блокчейн. Проанализируем, какие сведения нам может предоставить btcabuse
Догадка, которая и так крутилась в голове подтвердилась результатом просмотра btcabuse. Данный кошелёк каким-либо образом причастен к заражениям WannaCry. Логично предположить, что адрес использовался в двух случаях - для получения выкупа за инфецированное устройство, либо в схеме отмыва этих же денежных средств. Далее, давайте посмотрим исследование одного из французских ИБ специалистов, которое и без того бросается в глаза кричащим заголовком.
Данное исследование подтверждает, что адрес, по которому мы искали сведения является частью крупной схемы отмывания средств Lazarus Group, полученных с целью "выкупа" устройств заражённых WannaCry.
3. Как прокачать скилл в OSINT
Прокачка умений в любой сфере требует взаимного сосуществования теоретических знаний с частой практикой. Я советую активно исследовать райтапы, знакомиться с новыми методами решений поставленных задач и пытаться тренировать себя не зацикливаясь на одних лишь тасках, попеременно выходить и в открытое плавание, занимаясь поиском необходимых вам сведений и анализом интересующих объектов. Если вы новичок - начните с самого простого. Это снежный ком, который будет наростать из простого к трудному. Главное понимать, что всё трудное может состоять из более простых вещей, стоит лишь определиться с тем, как эти вещи связаны между собой.
4. Материалы и ресурсы
- Поисковики:
-- censys.io
-- shodan.io
-- viz.greynoise.io/table
-- zoomeye.org
-- fofa.so
-- onyphe.io
-- app.binaryedge.io
-- hunter.io
-- wigle.net
-- Lampire.io
- Поиск информации о человеке из открытых источников:
-- pipl.com/ [поисковик по социальным сетям]
-- leakedsource.ru [поиск по базам данных]
-- dumpedlqezarfife.onion [найдет письмо с паролем]
-- Leakprobe.net [найдет адрес электронной почты и источник утечки базы данных]
-- where-you.com [поисковик по социальным сетям(СНГ)]
-- vk.city4me.com [шпион ВК]
-- yasni.com [автоматический поиск в Интернете]
-- social-searcher.com [все посты пользователя]
-- socialmention.com [все упоминания о человеке]
-- nomerorg.me [телефонная база СНГ (только крупные города)]
-- namecheckup.com [проверка сайтов и приложений]
-- Instantusername.com [проверка сайтов и приложений]
-- suip.biz [osintframework онлайн]
-- phonenumber.to [поиск по номеру телефона, адрессу, ФИО]
-- spra.vkaru.net [телефонный справочник Россия, Украина, Беларусь, Казахстан, Латвия, Молдова]
- Поиск по номеру телефона:
-- Lampyre (Ссылка скрыта от гостей) — веб версия поиска по любому номеру телефона, поиск по аккаунтам и телефонной книге
-- Getcontact (Ссылка скрыта от гостей) — найдет информацию о том как записан номер в контактах
-- Microsoft (Ссылка скрыта от гостей) — проверка привязанности номера к microsoft аккаунту
-- Avinfo.guru (Ссылка скрыта от гостей) — проверка телефона владельца авто, иногда нужен VPN
-- Telefon.stop-list (Ссылка скрыта от гостей) — поиск по всем фронтам, иногда нет информации
-- Telefon (Ссылка скрыта от гостей) — Поиск по всем фронтам
-- @ FindNameVk_bot (Telegram – a new era of messaging) — Бот ищет историю смены фамилий профиля по открытым источникам, указывает дату создания аккаунта.
-- @@InfoVkUser_bot (Telegram – a new era of messaging) — Бот позволяет провести анализ друзей профиля. Сейчас доступны ВУЗы и родные города.
-- @numberPhoneBot (Telegram – a new era of messaging) — найдет адрес и ФИО, не всегда находит
-- Truecaller (Ссылка скрыта от гостей) — телефонная книга, найдет имя и оператора телефона
-- Bullshit (Ссылка скрыта от гостей) — поиск объявлений по номеру телефона
-- Bases-brothers (Ссылка скрыта от гостей) — поиск номера в объявлениях
-- Rosfirm (Ссылка скрыта от гостей) — найдет ФИО, адрес прописки и дату рождения, нужно знать город
-- Spravnik (Ссылка скрыта от гостей) — поиск по городскому номеру телефона, найдет ФИО и адрес
-- @usersbox_bot (Telegram – a new era of messaging) — бот найдет аккаунты в ВК у которых в поле номера телефона указан искомый номер
-- Spiderfoot (Ссылка скрыта от гостей) — автоматический поиск с использованием огромного количества методов, ножно использовать в облаке если пройти регистрацию
-- Locatefamily (Ссылка скрыта от гостей) — поиск адреса и ФИО
-- Nuga — поиск instagram
-- Live.com (Ссылка скрыта от гостей) — Проверка привязки к майкрософт
- Ресурсы для работы с метаданными:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
- Поиск и анализ объекта по изображению:
Соц. сети и сведения:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
Определение возраста:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
Поисковые системы:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
Повышение качества изображения:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
- Телеграм Боты:
-- @egrul_bot - информация о юр лицах и учредителях, ИП, адреса и взоимодействия между ними
-- @HowToFind_bot - приёмы и "секреты" ОСИНТ + обширная база полезных ботов
-- @mailsearchbot - выдаёт пароль по email
-- @buzzim_alerts_bot - проводит поиск по Телеграм
-- @AvinfoBot - по номеру смотрит объявления на авито
-- @getfb_bot - по номеру ищет аккаунт facebook
-- @EyeGodsBot - поиск по всем фронтам
-- @VKUserInfo_bot - информация о пользователе вк
-- @Dosie_Bot - поиск информации по ИНН
-- @Smart_SearchBot - поиск контактной информации
- Чекеры валидности мыла:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
- Whois:
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
--Ссылка скрыта от гостей
- Google дорки:
-- https://codeby.net/threads/google-hacking-ili-nax-shoudan.59762/
-- https://codeby.net/threads/osvaivaem-google.61095/
-- https://codeby.net/search/16362/?q=Google+Dorks&o=date
- Прочие ссылки:
-- https://github.com/smicallef/spiderfoot/blob/master/README.md
-- https://github.com/netstalking-core/netstalking-osint/blob/master/README.md
-- https://codeby.net/threads/osint-na-platforme-telegram.68064/
-- https://codeby.net/threads/10-poleznyx-instrumentov-dlja-osint.66907/
-- https://codeby.net/threads/ispolzovanie-otkrytyx-dannyx-osint-v-chasti-geolokacii.76040/
-- https://codeby.net/resources/russkij-perevod-osint-cheat-sheet-shpargalka-osint-2019.931/
-- https://codeby.net/threads/osint-v-more-sposoby-sbora-informacii-o-morskix-gruzoperevozkax.74515/
-- https://codeby.net/threads/offensive-osint-chast-1-osint-rdp.73660/
-- https://codeby.net/threads/offensiv...-rasprostranenija-nelegalnogo-kontenta.73661/
-- https://codeby.net/threads/offensiv...s-vyborami-na-polskom-servise-wykop-pl.73674/
-- https://codeby.net/threads/offensiv...-infrastruktury-v-jugo-vostochnoj-azii.73675/
-- https://codeby.net/threads/offensiv...orativnyj-shpionazh-schupalca-mindgeek.73688/
