Einführung
Dieser Challenge-Beitrag war einer der Challenges, die von TrendMicro CTF 2017 verwaltet wurden. Diese Challenges erfordern Open-Source-Intelligence-Fähigkeiten.
Lass uns anfangen…
Der Herausforderungstext lautete wie folgt:
"Beschreibung: Herausforderung Diese Herausforderung wurde gelöst. Kategorie: Iot/osint/scada Punkte: 100 Heute haben Sie eine E-Mail erhalten, die anscheinend von einer von Ihnen verwendeten Online-Shopping-Website stammt – aber als Sie dem Link folgten, schien etwas nicht zu stimmen. Es scheint, dass der schlimmste Phisher der Welt die Seite eingerichtet hat – und Sie mit einem Phishing-Angriff ins Visier genommen hat!
Im E-Mail-Text hieß es, Sie müssten einen Link aufrufen, um die Sicherheit Ihres Kontos zu aktualisieren. Der Link führt jedoch zur Site ctf.superpopularonlineshop.com.definitelynotaphishingsite.com
Für diese Herausforderung müssen Sie die „reale Person“ finden, die hinter diesem Angriff steckt – und zwar unter Einsatz Ihrer Open Source Intelligence (OSINT)-Fähigkeiten.
Die Flagge wird auf einer ihrer sozialen Profilseiten zu finden sein
HINWEIS: Ein Pen-Test der Website hilft nicht – tatsächlich ist alles, was Sie zum Starten des Trails benötigen, bereits in dieser E-Mail enthalten.
Holen Sie sich Hinweise zum OSCP-Zertifikat
———————————————————–
Schlüsselwörter: OSINT, Whois, Maltego
Beginnen wir nun damit, die Website der Domain ctf.superpopularonlineshop.com.definitelynotaphishingsite.com zu erkunden
Und wie immer ist es bei OSINT das Erste, die Domänenartefakte mithilfe von „whois“ zu identifizieren.
Und dieses Mal habe ich whois für „definitelynotaphishingsite.com“ verwendet, weil die Verwendung der gesamten Domain zu nichts geführt hat
Da die Suche nach der E-Mail, auf die in der Abbildung oben die Pfeile zeigen, kein konkretes Ergebnis lieferte, richtete sich der Fokus auf die Telefonnummer.
Die Verwendung von Maltego zur Analyse, wo die Telefonnummer hingehört, bietet uns wie gezeigt drei Optionen
Nachdem ich alle ausprobiert hatte, landete ich bei der URL
die auf eine Seite mit Whois-Informationen weiterleitet
Wenn Sie nun die gelb hervorgehobene Website aufrufen, erhalten Sie Folgendes
Und wie bei jedem OSINT-Fall müssen wir uns das soziale Profil genauer ansehen. Ein bisschen googeln ergibt den folgenden Twitter-Account, der der realen Person gehören soll, die wir verfolgen:
Bei der Arbeit mit OSINT-Fällen muss man sich auch auf die Verbindungen des Subjekts konzentrieren. Nachdem wir uns eingehend mit seinen/ihren Followern befasst haben, war der im Bild unten gezeigte Account derjenige, den wir von Anfang an berücksichtigen sollten.
Als wir den Namen des Kontos googelten, gelangten wir zu seiner verlinkten Seite, die endlich die Hinweise und Hinweise enthielt, die uns interessieren
Nun sieht dieser Geheimtext GZPGS{SGE0FVAG101 wie eine der ROT-Varianten aus, eine kleine Suche und Entschlüsselung gibt uns
Und die Flagge ist TMCTF{FTR0SINT101}