En esta habitación vamos a usar técnicas OSINT pasivas para descubrir al atacante de OSINT Dojo. La primera pista es que ha dejado una imagen.

Así que la pregunta es, analizando bien la image, ¿qué nombre de usuario tiene el atacante?

La imagen es la siguiente.

Imagen del desafio

Los locos como yo que trasladen el binario de la imagen a un archivo de texto y lo convirtieron en ASCII, descubrirán el texto:

«A picture is worth 1000 words but metadata is worth far more»

Fantástico.

La mayoría de herramientas de metadatos no dicen nada. Sin embargo, exiftool nos dice un montón de información si le damos la opción -v de verbose, tanta, que es inmanejable, así que filtro por grep.

Hacerlo por user no me dice mucho, pero cuando lo hago por name, aparece algo interesante.

exiftool -v sakuraletter.svg | grep name
# Sale lo siguiente entre los resultados
Export-filename = /home/SakuraSnowAngelAiko/Desktop/pwnedletter.png

SakuraSnowAngelAiko

Reconocimiento

Parece que ese nombre de usuario se ha usado en cuentas de redes sociales, fallo importante por parte del atacante.

Nos piden el email y el nombre real completo, así que comenzamos con una búsqueda de ese nombre de usuario en cuentas de redes sociales.

Encontramos en Linkedin/SakuraSnowAngelAiko su nombre

Aiko Abe

El email no aparece, pero tenemos su llave pública. Para sacar un email desde una llave pública:

  • Copiamos y pegamos en un archivo la llave.
  • Lo guardamos con extensión .asc
  • Lo importamos con gpg.
gpg --import key.asc

Y nos aparece el correo electrónico:

SakuraSnowAngel83@protonmail.com

Desvelar

Nos dice que profundicemos en Github, dentro del repositorio ETH encontramos información interesante, especialmente dentro de «mining script» donde, si nos fijamos en el historial de cambios (pinchando en la descripción, no en el nombre), vemos esto.

Detectando cambios en Github

Eso nos permite responder a unas cuantas preguntas.

¿Para qué criptomoneda tiene un monedero el atacante?

Ethereum

¿Cuál es la dirección del monedero?

0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

¿De qué mining pool recibió pagos el 23 de enero de 2021?

Ethermine

¿Qué otra criptomoneda ha intercambiado el atacante con este monedero?

Si buscamos en etherscan para ver transacciones del monedero, llegamos a:

https://etherscan.io/txs?a=0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

Ahí podemos ver transacciones en otra moneda.

transacciones en Etherscan

Tether

Burlándose

El criminal sabe que estamos recogiendo información. La cuenta de Twitter que usaron aparece con un nombre de usuario diferente de la que estábamos siguiendo antes, puede que haya alguna información adicional que podamos localizar para tener una idea de adónde se dirige a continuación.

Hemos tomado una captura de pantalla del mensaje que nos ha enviado el atacante.

pantallazo

En ella dice que vuelve a casa.

Instrucciones

Muchos usuarios tienen varias cuentas que hay que investigar. Para responder a las siguientes preguntas, necesitaremos mirar el pantallazo de Twitter y usarlo para localizar información adicional de la cuenta de usuario de Twitter.

Necesitaremos luego seguir las pistas hasta la web oscura y otras plataformas en las que descubrir información adicional.

¿Cuál es el Twitter handle actual del atacante?

En el buscador de Twitter, con la expresión, AikoAbe3 since:2021-01-01 me sale su nuevo usuario.

SakuraLoverAiko

¿Cuál es la URL de la localización en la que el atacante ha guardado sus SSID’d WiFi y contraseñas?

En uno de sus status de Twitter, aparece un pantallazo cortado y un Tuit adicional explicativo que resalta en mayúsculas DEEP y PASTE. En la pista se ofrece una alternativa para quien no se encuentre cómodo con la búsqueda en la deep web o a quien no le funcione, porque ya se sabe la estabilidad de esos sitios.

Pruebo varios enlaces en Tor Browser, pero tela que no funcione ninguno en ese momento.

http://depastedihrn3jtw.onion (la oficial)

https://4m6omb3gmrmnwzxi.onion.sh

http://depastedihrn3jtw.onion/

Pero bueno, deduciendo de cómo construye las peticiones deeppaste y el md5 del pantallazo de Twitter.

http://depastedihrn3jtw.onion/show.php?md5=0a5c6e136a98a60b8a21643ce8c15a74

¿Cuál es el BSSID de la WiFi de casa del atacante? La pista nos pide que demos de alta un usuario en un lugar para buscar esas cosas y usemos la búsqueda avanzada.

Se refiere a wigle.net, un viejo conocido.

Ponemos el nombre la SSID de la WiFi y nos aparece, no hay otra con ese nombre. Hay que borrar las coordenadas de Estados Unidos que aparecen por defecto, ni siquiera hace falta poner las coordenadas de la ciiudad, Hirosaki.

84:AF:EC:34:FC:F8

De vuelta a casa

A partir de ahora hay que usar la información de Twitter, imágenes sobre todo, para averiguar las preguntas.

La primera es qué aeropuerto está más cercano a la localización que ha compartido antes de embarcar en su vuelo.

La clave está en el obelisco, los cerezos en flor y el río. Me ha parecido Washington por lo enorme del monumento y que tiene el río Potomac, así como cerezos japoneses, según he encontrado por Google.

Washington tiene 3 aeropuertos, el más cercano es el que tiene el National Airport, código de tres letras…

DCA

La siguiente pregunta es qué aeropuerto ha usado de escala. Hay una foto de un salón de descanso para primera clase, buscando las palabras que salen ahí podemos ver en Google imágenes similares, es el aeropuerto de Tokio sin duda. Su código de 3 letras es…

HND

Después nos pide el lago que aparece en el mapa que ha compartido. La clave es la isla que hay a la izquierda, tiene un aspecto peculiar e inconfundible. Yendo a Japón a Google Maps, la isla se ve fácil y a partir de ahí se saca el lago.

Lake Inawashiro

Por último nos pregunta qué ciudad considera el atacante su hogar. Eso ya nos aparecía en los datos de la SSID que teníamos antes, en el apartado de Free WiFi que ofrece la ciudad.

Hirosaki