Розбір конкурсу «Конкурентна розвідка»

1. Підсумки

Дата публікації: 4 червня 2018

За кілька тижнів до форуму Positive Hack Days пройшов традиційний конкурс «Конкурентна розвідка». В цьому році ми спиралися на проведений аудит безпеки і кіберзагроз ICO , Під час якого доводилося для зменшення ризиків аналізувати всю зовнішню інфраструктуру, включаючи команду організаторів, розробників і консультантів. Ми створили наш конкурс за мотивами реальних проектів.

Всі завдання були зосереджені навколо вигаданої невеликий краудсейл-компанії Notsopositive, що представляє собою типовий ICO з невеликою кількістю співробітників. Під час конкурсу учасники дізналися багато прихованої інформації про засновників і співробітників компанії, про їх родичів і друзів. В першу чергу від учасників було потрібно мати в арсеналі велику кількість онлайн-сервісів і соціальних мереж, знати їх специфіку і вміти використовувати. Крім того, необхідно було оперувати наявними відомостями так, щоб знаходити необхідні дані про людей і з їх допомогою здобувати нові.

Завдання були розподілені таким чином, щоб і ветеранам, і новачкам було не нудно і кожен пішов хоча б з одним прапором. Багато завдань утворювали своєрідну послідовність і складалися в цілий сюжет. Були й такі завдання, які проходили нелінійно, тому учасникам потрібно було зберігати інформацію про кожного зроблене кроці.

Для вирішення першого вступного завдання, звідки починалися інші, необхідно було скористатися Google:

Всі завдання будувалися навколо восьми співробітників проекту Notsopositive з виконавчої команди (Executive Team) і команди розробників (Development Team).

При уважному вивченні сайту учасники раз у раз натикалися на різні «точки входу», які вели до вирішення. Детальніше зупинимося на кожному завданні.

Adam Wallace, CMO

Питання в гілці Adam Wallace:

• Adam Wallace username?
• What does Adam's son have allergies to?
• What is Adam's house number?
• Where does Adam's son study?
• CMO's favorite bar name?

Отже, наткнувшись на сайті на whitepaper, потрібно було завантажити PDF на будь-який онлайн-сервіс для читання META-даних (наприклад, PDFCandy ) Або відкрити в Word, де можна було знайти нік CMO, також відомого як Adam Wallace, - sumcoinz.

Любителі робити все руками могли відкрити PDF в своєму улюбленому HEX-редакторі і дістати нік Адама самостійно.

Далі для продовження ланцюжка необхідно було знайти FTP-сервер c допомогою Knock Subdomain Scanner , Також для цієї мети можна було використовувати утиліти dnsmap , sublist3r , sublazerwlst .

Був і інший шлях: дізнатися реальний IP-адресу сайту notsopositive.online, прихований за CloudFlare, і просканувати всю підмережу в пошуках 21-го порту. Підхід до вирішення цього завдання індивідуальний і залежить від досвіду і навичок кожного учасника.

Отриманих IP-адреси FTP-сервера і логіна було досить для атаки на перебір пароля. Для цього потрібно було застосувати легендарну утиліту THC-Hydra . Звучить нескладно, однак учасникам необхідно було використовувати весь словник знайдених никнеймов організаторів ICO. До речі, в логах FTP ми також побачили спроби атакувати користувачів root, admin, administrator.

Дізнавшись логін Адама (sumcoinz), потрібно було перебирати пароль по найвідомішому серед CTF-щиків словником .

Під час конкурсу у деяких учасників виникали проблеми з підключенням до FTP через обмеження кількості клієнтів, однак помилка конфігурації була пізніше виправлена. Ми поміняли пароль FTP-сервера на більш простий, щоб спростити і прискорити учасникам проходження завдання.

На атаку, як правило, йде всього кілька секунд. Далі потрібно було зайти на FTP будь-яким зручним способом і знайти типову для особистого сервера файлову смітник.

Крім софта тут були цікаві фотографії, які містили в собі відразу кілька прапорів.

Корявим почерком Адама вказані ім'я його сина, місце навчання, адреса школи та домашню адресу! Ще один прапор - алерген сина Адама. На тому ж сервері можна було знайти і цікавий файл під назвою screenshot.jpg:

На скріншоті з WhatsApp листування, імовірно Адама і його друга. У повідомленні друг Адама дізнається про місцезнаходження бару, в якому, на момент їх спілкування, Адам проводить час. Використавши будь-який сервіс з картами міста Spokane, учасник міг «пройти» описаний маршрут і наштовхнутися на той самий улюблений бар CMO Notsopositive під назвою «7th Rail».

На момент завершення конкурсу всього 20 учасників успішно виконали всі завдання з сюжетної гілки Адама Уолласа і дійшли до описаного етапу.

Ryan Evans, CTO

Питання до гілки Ryan Evans:

• Github username?
• Corporate email address?
• Ryan's wife email address?
• Ryan's wife username?
• Ryan's wife resort?
• Ryan's wife friend's surname?
• Ryan's wife place of work (company name)?

Райан Еванс - технічний директор ICO-проекту. Використовуючи утиліти для пошуку директорій і файлів, наприклад dirb або словник fuzz.txt , В корені веб-сайту notsopositive.online можна було знайти директорію .git, звідки можна отримати все вихідні зі сховищ. Далі - необхідно було дістати вихідні за допомогою такого способу, скористатися GitRipper , Вказавши в якості мети реальний IP-адресу сайту, і витягти конфігураційні файли системи контролю версій Git. Дістати /.git/config можна було і за допомогою звичайного браузера.

У файлі config перебувала посилання на аккаунт GitHub Райана ( github.com/ryanevans0082 ), Де можна було наштовхнутися на його Jabber-акаунт:

Писати туди сенсу не було, а ось пошукати за допомогою Google - непогана ідея. Перший прапор зданий, далі потрібно було знайти у видачі Google аккаунт Speaker Deck і єдину завантажену презентацію Initial Coin Offering.

Учасників, наплакав кривавими сльозами від перегляду презентації, чекала нагорода - на останньому слайді був опублікований корпоративний e-mail Райана.

Перебирати пароль від email в даному випадку було марно, але відновити його можна було по секретному питанню:

Grandmother's, да :) Питання не найнадійніший. На реальних проектах ми частенько зустрічалися зі схожими. Відповідь на ці питання, як правило, можна знайти в соціальних мережах - в Одноклассниках, ВКонтакте і Twitter. Наступний етап - пошук акаунтів:

У Твіттері за запитом «Ryan Evans» здалася знайома борода. До речі, знайти аккаунт можна було і за допомогою «Яндекса».

У стрічці Твіттера знайшлося згадка дня народження бабусі - 20 квітня.

Точний вік бабусі можна було обчислити за кількістю, написаному кремом на торті.

Трохи арифметики і ось ми дізналися точну дату народження - 20 квітень 1946 року. Тут же виникає резонне питання - в якому форматі Райан міг написати дату? Дізнатися це можна було, перегорнувши Твіттер: знайшовся пост про машину, сірої Kia Carens, купленої першого жовтня 2014 року. Дата вказана в форматі дд.мм.рррр. Можливо, Райан написав відповідь на секретне питання в тому ж форматі.

Не всі любителі OSINT виявилися одночасно і автолюбителями, тому у деяких учасників виникали проблеми з визначенням марки і моделі машини Адама. У тих випадках, коли не допомагає пошук за картинками в Google або водійський досвід, на допомогу може прийти «Яндекс». Він точно визначив марку і модель Kia Carens.

Прапор CTO's Car model зданий. Далі потрібно було підставити дату народження бабусі в правильному форматі (20.04.1946) як відповідь на секретне питання «Яндекс.Пошти».

Після можна було поставити будь-який новий пароль (наступний учасник в будь-якому випадку його міняв) і ось ми потрапили в поштову скриньку Райана. У відправлених повідомленнях знаходилося лист дружині, в якому учасник міг виявити її email [email protected] .

З адреси нескладно було вирахувати ім'я - Megan, а пошук по соцмережах видав сторінку ВКонтакте:

Знайти Меган ВКонтакте можна було і через форму відновлення пароля. Для це потрібно запитати відновлення пароля, вказати email і прізвище Evans:

На сторінці величезна кількість інформації:

• рідне місто,
• університет,
• місце роботи (в підписках),
• місце відпочинку (GPS-теги в EXIF ​​фотографій),
• кілька фотографій, що дозволяють визначити зовнішність,
• приблизні інтереси.

Разом здані відразу кілька прапорів про Megan.

Тримаючи в пам'яті все нове про Megan, учасник, ймовірно, подумав: «Чому в листуванні по email Megan так і не відповіла Райну на фотографію з котом?». Дійсно, щось тут нечисто.

Мало хто здогадалися до способу продовження рішення, але хто здогадався - вийшов в топ-10 учасників.

Отже, встановлюємо Tinder емуляціях геолокацію за допомогою додатків типу Fake GPS - або ставимо Tinder на Bluestacks, де подібна функція присутня з коробки.

Місце відпочинку Megan (Miami, Florida) виявлялося виходячи з геометок на її фотографіях зі сторінки ВКонтакте. За допомогою Fake GPS потрібно було «долетіти» в Майамі, штат Флорида, виставити цільову аудиторію під параметри Megan (вже відомі вік і точне місце розташування з профілю ВКонтакте) і свайпать дівчат. Через 5-10 прекрасних дам виявилася «та сама, єдина» Меган Еванс. Тільки ось ім'я і прізвище у неї в Tinder виявилися інші, а точно впевнитися, що це вона, допомогли фотографії з ВКонтакте.

Щоб упевнитися, що це не помилка, а потрібна нам Megan, необхідно було звірити автоматично імпортовані з Facebook при підключенні аккаунта місце навчання і рідне місто. Прапор CTO's wife place of work зданий.

Далі тривав пошук вже по другій, «тіньовий» особистості Megan. Особливість Tinder - місце роботи автоматично підставляється з профілю Facebook. Тому відразу можна було перейти на Facebook, щоб знайти сторінку Scamsopositive.

Скориставшись методом розвідки «ревнива студентка», також відомим як «пробивши по лайкам», можна було знайти сторінку Joanne Brandt і здати в якості останнього прапора прізвище єдиного на цій сторінці одного - Rossi.

Решта завдання були більш низького рівня складності і об'єднувалися в невеликі квести з порівняно дешевими прапорами. Для вирішення могли знадобитися і особливі знання про роботу деяких сервісів. Наприклад, завдання на визначення моделі мобільного телефону фронтенд-розробника Олексія Наборщікова передбачало обізнаність учасника про можливість вказати модель улюбленого гаджета в профілі на форумі 4PDA.

Отже, для початку потрібно було знайти фронтендера Олексія в соцмережах.

Запит в Facebook видав відразу декілька, але айтішник з них тільки один. Тонкої сполучною лінією між описом на сайті компанії і аккаунтом Facebook була тематична аватарка, яка видала професійну орієнтацію нашої жертви.

Унікальний адресу сторінки (m0arc0de) видав нам часто використовуваний нік. Далі йшов пошук на 4PDA або xda-developers. За нику можна було знайти того самого фронтенд-розробника з Notsopositive. В поле "Про себе" Олексій написав про себе всю потрібну нам інформацію, що дозволяє однозначно визначити, що це саме той, хто нам потрібен. Прапор з моделлю телефону зданий.

У завданні з пошуку невідомого хакера (Evil guy's username on Anonymous freelance service) передбачалося, що учаснику буде відомо про новий порталі для анонімного розміщення різних послуг і комерційних пропозицій під назвою Yukon. Трохи погортавши розділ «Робота», можна було знайти цікаве оголошення з прямою вказівкою на досліджуваний сайт. У контактах для зворотного зв'язку було вказано й поштову адресу, в якому і перебував нік «злого» хлопця.

Як же бути тим, хто не чув про Yukon? Тут приходять на допомогу найпростіші Google dorks, а відповідь дуже часто ховається в самому питанні.

Найперший результат у видачі - потрібний нам сайт. Пошук по ніку показав, що d34dl0ck - вельми поширений нік, тому у видачі дуже багато персон, пов'язаних з цим ніком. Виявити потрібного нам d34dl0ck можна було методом виключення, перевіривши кожного.

Звузивши коло пошуку до адреси пошти, отримали однозначно відповідний результат.

У повідомленні на форумі виявили, що у нашого замовника тіньових послуг є навички розробки шкідливого ПЗ.

Яку ж малваре він написав? В архіві з обіцяними вихідними кодами виявився виконуваний файл. Цільовий фреймворк .NET 3.5 вказує на найбільш ймовірний мову розробки - C #. Пошук в мережі за запитом "Hidden Tear" також вказав на С #. Але що саме змінилося в коді? Тут допоможе декомпілятор .NET Reflector. Дотримуючись усіх правил обережності при роботі з шкідливим кодом, потрібно завантажити виконуваний файл в декомпілятор. NET Reflector прекрасно справляється з декомпіляцією додатки. У списку використовуваних на одній формі функцій знайшлася GenEthAddress, її назва найбільш відповідає питання в завданні Evil guy's wallet number.

Побіжний погляд на декомпільовану код дозволив зрозуміти алгоритм «збирання» адреси гаманця з чотирьох рядків. Рядки рівної довжини конкатенуються в одну велику, потім вона перетворюється в масив символів. Одержаний масив перевертається. Функція GenEthAddress викликається з функції messageCreator, в ній і створюється остаточна версія номера гаманця. Перед початком масиву підставляється '0x'.

Простіший метод вирішення з супутніми стражданнями віртуальної машини - запустити виконуваний файл вірусу. У повідомленні про кодуванні файлів відображається адреса ETH-гаманця.

Дізнатися прихований за CloudFlare IP-адреса веб-сервера notsopositive.online також можна було кількома способами. Кожне завдання вирішувалося за запланованим організаторами шляху, проте учасники нерідко знаходили і альтернативні шляхи.

Зверху сайту ICO можна було знайти посилання на сторінку підписки на новини компанії, а один із способів дізнатися IP-адресу за CloudFlare - відправити лист з сервера собі на пошту і подивитися заголовки. Однак є й інші .

Переходимо до форми, вказуємо в ній будь-яке ім'я і свою адресу email.

У прийшов листі потрібно було відкрити службові заголовки і отримати наступне:

і 178.170.172.110 здати як прапор.

Учасник з ніком @ AlexPavlov60 знайшов альтернативний спосіб дізнатися прихований IP-адреса за допомогою Shodan. Якщо в ході проходження учаснику вже був відомий IP-адреса FTP-сервера, доцільно було перевірити всю підмережу на наявність інших належать компанії Notsopositive серверів.

На запит: net: 178.170.172.0/24 product: "Apache httpd» Shodan повертає відразу кілька серверів, серед яких один із знайомим DNS.

Ще один тіньовий пошуковик, який може нам допомогти, Censys, запропонував учасник @rdafhaisufyhiwufiwhfiuhsaifhsaif.

На запит: https://censys.io/ipv4?q=80.http.get.title%3ANotSoPositive він теж повертає потрібну адресу.

Звичайно, існують і готові рішення для вилучення IP-адреси, прихованого за CloudFlare. Учасник @Blablablashenka застосував утиліту Hatcloud , Що знайшла сусідній адреса з підмережі. Залишалося тільки пошукати там же веб-сервери.

Знайти ще один домен, на який вказує цей IP-адреса, виявилося зовсім легко: з'ясувалося, що PTR-запис показують всі сервіси, на яких можна отримати інформацію про IP, тому вартість завдання трохи не відповідала складності. Відповідь - scamsopositive.com.

James Taylor, CEO

Питання в цій гілці:

• CEO's car model
• 'Find the CEO's nickname (we know that his friend's name is James Cottone)
• Let's see how you can use Facebook: find the CEO's son
• Find out his e-wallet and with whom the son of the CEO is connected

На сторінці ICO була згадка Telegram, однак посилання нікуди не вела. Це був невеликий хинт для пошуку каналу або чату NOTSOPOSITIVE:

Там і можна було знайти аккаунт CEO, з аватарки і його машиною.

Скориставшись пошуком по картинках в Google легко можна було знайти машину Джеймса на фото - це Toyota Land Cruiser.

Далі необхідно було знайти нікнейм CEO, якого в Telegram не було. Однак було відомо, що одного з його друзів звуть James Cottone. Один з варіантів вирішення, який ми закладали, - скористатися сервісом відновлення пароля на Facebook, де вказати ім'я одного для пошуку аккаунта:

На ділі дуже багато сервісів дозволяють таким чином з'ясувати - прив'язані певні email або номер телефону до сервісу. Після введення імені та прізвища одного прийшло сповіщення, що код доступу буде відправлений на пошту:

Неважко здогадатися, що пошта - [email protected]. Також, один з варіантів, запропонований учасником, - використовувати сервіс anymailfinder.com, де відразу відобразяться електронні адреси деяких із співробітників:

Далі, знаючи пошту, можна було ще раз пройти процес відновлення і побачити, як виглядає його аватар:

А потім знайти його сторінку і нікнейм:

Для пошуку сина необхідно було скористатися особливістю Facebook: у нього є можливість переглядати, яким публікаціям ставив лайки користувач. Все це можна побачити на цьому сервісі . За лайкам, які ставив James, виявилися профілі його дружини і сина.

На сторінці сина - його логін на Твічу (br4yl0r), однак це нам нічого не дало. У пошукових системах теж майже нічого немає. У таких випадках, якщо сторінки профілів не проіндексувалися, корисно використовувати утиліти типу namechk.com, які покажуть зайнятість никнеймов і доменних імен на різних веб-сервісах. Таким чином, можна було знайти профіль в Steam, а з нього і в GitHub - STKLRZSQUAD. Тут знову необхідно було знати специфіку сервісу і подивитися, що Бредлі викладав на gist. Далі, знайшовши даний байткод:

і пошукавши заголовки, зрозуміли, що це байткод смарт-контракту:

Далі нам залишалося скористатися утилітою для перетворення його в opcode, наприклад тут . Всередині знайти вже відомий гаманець з іншого завдання:

Невже син CEO замовив атаку на ICO свого батька?

Rajesh Bishop, System Administrator

Питання в цій гілці:

• Find out the domain name of the system administrator \ 's personal website
• Try to find sysadmin's personal email
• What is sysadmin's favorite beer brand?
• The name of the restaurant, where sysadmin drank beer recently

Як завжди, почати необхідно було з типовою розвідки, щоб виявити домен mail.notsopositive.online, де за допомогою nmap знайти самоподпісанний сертифікат, який діяв і для іншого домену:

Потім, зробивши запит ANY на DNS bishopshomepage.win, можна було знайти його електронну адресу:

Потім - відповісти на питання про улюблене пиво у Раджеша. Багато любителів пива знайомі з такою соціальною мережею, як Untappd (її можна знайти за запитом «beer social network»). Один з варіантів був, як завжди, використовувати інші пошукові системи:

Далі вже простіше: знайти профіль сисадміна, в ньому єдине фото з хештегом.

Однак в цій соцмережі немає хештегів, що повинно було наштовхнути на думку про те, що потрібно здійснити пошук по іншим: ВКонтакте, Facebook, Twitter і Instagram. В останній і можна було виявити фото з геометкамі:

Штаб-квартира NOTSOPOSITIVE

Пошук штаб-квартири знову вимагав від учасників конкурсу докласти зусиль і перекопати всі соціальні мережі. Відповідь знаходився на LinkedIn:

Mark Fox, CSO

Для розуміння, звідки починається конкурс з CSO, потрібно було знову скористатися fuzz.txt і виявити в кореневій веб-директорії файл .DS_Store, який залишає за собою macOS. Розшифрувавши його за допомогою онлайн-утиліти https://labs.internetwache.org/ds_store/ або переглянувши бінарний файл, можна було знайти такі рядки:

За адресою і правда лежало фото якоїсь людини. Крім того, одна з особливостей Faceboock: раніше, при збереженні файлу, другим числовим значенням був ID фотографії. Так і можна було знайти профіль:

У профілі і корпоративну адресу Марка: [email protected]

Підсумки

Цього року участь взяли понад 500 осіб, а хоча б з одним завданням впоралося майже 300. Переможцем став знову Noyer_1k, старання якого винагороджені смарт-годинами Apple Watch, запрошеннями на форум і сувенірами від організаторів. Друге місце, Power Bank, інвайт на форум і сувеніри заслужив Kaimi0. Третє місце, книгу Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information, запрошення і сувеніри забрав empty_jack. Фінальна таблиця результатів:

# Никнейм Бали 1 Noyer_1k 816 2 Kaimi0 816 3 empty_jack 816 4 Antxak 786 5 V88005553535 661 6 jerh17 611 7 shsilvs 556 8 someotherusername 526 9 trace_rt 491 10 shadowknight 481

Вітаємо переможців!

Розбори попередніх конкурсів:

Автори: Ярослав Бабин, Арсеній Синьова