TryHackMe(THM):Sakura Room
- Task 1 INTRODUCTION
- Task 2 TIP-OFF
- Task 3 RECONNAISSANCE
- Task 4 UNVEIL
- Task 5 TAUNT
- Task 6 HOMEBOUND
- What airport is closest to the location the attacker shared a photo from prior to getting on their flight?
- What airport did the attacker have their last layover in?
- What lake can be seen in the map shared by the attacker as they were on their final flight home?
- What city does the attacker likely consider "home"?
この記事は、DeepL翻訳を利用して和訳しています。
このサイトに書かれている攻撃手法は「自分に権利のあるサイト」以外では使用しないでください
Task 1 INTRODUCTION
この部屋は、多種多様な異なるOSINT技術をテストするように設計されています。少し調べれば、OSINT の初心者でもこれらの課題をクリアできるはずです。
Task 2 TIP-OFF
OSINT道場は先日、サイバー攻撃の被害に遭いました。しかし、大きな被害はなく、また、我々のシステムのいずれにおいても、他に危険な兆候はないようです。しかし、フォレンジック分析の結果、我々の管理者はサイバー犯罪者が残した画像を発見しました。もしかしたら、この画像には攻撃者を特定するための手がかりが含まれているかもしれません。
攻撃者が残した画像をコピーしましたので、こちらのブラウザでご覧ください。
画像には、表面的な情報だけでなく、ファイル自体に埋め込まれた情報も含まれています。写真がいつ作成されたか、どのソフトウェアが使用されたか、著者や著作権情報、その他調査に重要なメタデータなどの情報が見つかるかもしれません。
次の質問に答えるためには、OSINT道場の管理者が見つけた画像を徹底的に分析して、攻撃者の基本的な情報を得る必要があります。
What username does the attacker go by?
攻撃者はどのようなユーザーネームで活動しているのでしょうか?
ブラウザでアクセスし、画像を右クリックして「名前を付けてページを保存」します。
「sakurapwneditter.svg」という名前で保存されました。
Kaliには、インストールされていますが、WindowsやMacなどを使っている場合はExifToolをダウンロードしてインストールします。
ダウンロードしたファイル「sakurapwneditter.svg」のプロパティを確認します。
$ exiftool <ダウンロードしたファイル>
出力結果に解答内容がありました。
Task 3 RECONNAISSANCE
この攻撃者は、運用上のセキュリティに致命的なミスを犯したようです。彼らはユーザー名を他のソーシャルメディアでも再利用していたようです。これにより、彼らの他のソーシャルメディアのアカウントを探し出すことで、彼らに関する追加情報を集めることがはるかに容易になるはずです。
ほとんどのデジタルプラットフォームには、何らかのユーザー名の入力欄があります。多くの人は自分のユーザー名に愛着を持ち、複数のプラットフォームでその名前を使用することがあります。就活サイトのように、ユーザーが自分のフルネームや位置情報などのリアルな情報を提供する可能性が高いプラットフォームでは、この機能は特に有効です。
有名な検索エンジンで検索すれば、他のプラットフォームで一致するユーザー名を見つけることができますし、同じ目的のための専門ツールも数多く存在します。ただし、検索エンジンで検索しても、ユーザー名の検索をしても、誤検出のためにプラットフォームが表示されないことがあることに注意してください。場合によっては、そのアカウントが存在するかどうかを100%確認するために、自分で手動でサイトをチェックする必要があります。以下の質問に答えるために、タスク 2 で見つけた攻撃者のユーザ名を使用して、OSINT 調査を他のプラットフォームに拡大し、攻撃者に関する追加の識別情報を収集します。誤判定に注意してください。
What is the full email address used by the attacker?
Googleで先ほど解析したプロパティ名で検索します。
GitHubのサイトにPGPキーがあったので、ファイルに保存します。
ssh2johnを使用してid_rsaをクラック可能な形式に変換できます
$ echo <PGPの文字列> | base64 -d
解析結果にメールアドレスらしき文字列がありました。
What is the attacker's full real name?
Googleで先ほど解析したプロパティ名で検索します。LinkIDに名前が出ていました。
Task 4 UNVEIL
このサイバー犯罪者は、私たちが彼らに気付いているようです。Githubのアカウントを調査していると、アカウントの所有者が、我々の追跡を逃れるために、すでに情報の編集や削除を始めていることがわかりました。おそらく、この情報には捜査に役立つ何らかのデータが含まれていたため、削除したのだと思われます。もしかしたら、彼らが提供した元の情報を取り戻す方法があるかもしれません。
一部のプラットフォームでは、編集または削除されたコンテンツは、そのページが他のプラットフォームでキャッシュまたはアーカイブされていない限り、復元できない場合があります。しかし、他のプラットフォームでは、編集、削除、または挿入の履歴を表示する機能が組み込まれている場合があります。このような監査履歴があれば、調査員は、ミスや見落としで一度は掲載されたものの、その後ユーザーが削除した情報を見つけることができます。このようなコンテンツは、調査の過程で非常に貴重であることが多い。以下の質問に答えるためには、攻撃者の Github アカウントに深く入り込み、変更または削除された可能性のある追加情報を探す必要があります。そして、この情報を利用して、攻撃者の暗号通貨取引の一部を追跡します。
What cryptocurrency does the attacker own a cryptocurrency wallet for?
Take2で判明したプロパティ名でGoogle検索結果からヒントにあったGitHubのサイト内の「Repositories」をクリックします。
暗号通貨ウォレットっぽい文字をクリックします。
この文字から連想する通貨が解答です。
What is the attacker's cryptocurrency wallet address?
コメントを見ると、それっぽい暗号化通貨名が出てきました。
右上にあるcommitをクリックします。
2件表示されますが、Createの方をクリックします。 表示された情報が攻撃者の暗号通貨ウォレットのアドレスです。
What mining pool did the attacker receive payments from on January 23, 2021 UTC?
先ほどの暗号通貨ウォレットURLをブラウザで開いてみます。このサイトが解答結果です。
What other cryptocurrency did the attacker exchange with using their cryptocurrency wallet?
再度暗号通貨ウォレットのアドレスをGoogleで検索すると、検索結果に トランザクションの一覧があったので表示させます。
トランザクションの一覧のなかから[OUT]に注目すると他の暗号通貨名があります。
Task 5 TAUNT
思ったとおり、サイバー犯罪者は、私たちが攻撃後に彼らの情報を収集していることを十分に認識しています。TwitterでOSINT道場にメッセージを送り、私たちの努力を嘲笑うほどの大胆さでした。彼らが使用したTwitterアカウントは、これまで追跡していたユーザー名とは異なるようですが、もしかしたら、彼らが次にどこに向かうのかを知るための追加情報があるかもしれません。
攻撃者から送られてきたメッセージのスクリーンショットを撮影しましたので、こちらのブラウザでご覧ください。
多くのユーザーは、異なるプラットフォームでユーザー名を共有していますが、調査のため、荒らしのため、あるいは公私の区別のために、まったく別のアカウントを持っていることも珍しくありません。これらの代替アカウントには、他のアカウントにはない情報が含まれている可能性があるため、徹底的に調査する必要があります。以下の質問に答えるためには、攻撃者がTwitterでOSINT道場に送ったメッセージのスクリーンショットを見て、それを使って攻撃者のTwitterアカウントの追加情報を探す必要があります。その後、Twitterアカウントからダークウェブやその他のプラットフォームへの導線を辿り、追加情報を発見する必要があります。
What is the attacker's current Twitter handle?
Twitter上で昔のハンドルネームで検索します。
What is the URL for the location where the attacker saved their WiFi SSIDs and passwords?
攻撃者がWiFiのSSIDとパスワードを保存していた場所のURLを教えてください。
スレッドをスクロールするとそれらしい投稿が見つかりました。
スクリーンショットがダークウェブからのもののようです。
ダークウェブにアクセスするためにTor Browserを起動する必要があります。
私のKaliにはインストールされていなかったため、まずインストール処理を実行しました。
$ sudo apt install -y tor torbrowser-launcher
torを起動します。
$ torbrowser-launcher
ダークウェブで「deep paste」で検索してdark onionのURLを取得するようです。 DuckDuckGoを使います。
検索欄に「Dark Web」、「DEEP search」を入力して検索すると下記URLが抽出されます。
画面をスクロールして「Deep Paste」のリンクをクリックします。
画面をスクロールして「Search Pastes」のリンクをクリックします。
Enter Known MD5欄にスクリーンショットにあったハッシュ値を入力して検索します。
表示されたページのURLが解答になります。
What is the BSSID for the attacker's Home WiFi?
Pastes画面に戻り、https://www.wigle.net/にアクセスして「SSID」欄に入力して検索します。 画面が出なかったけど、BSSID欄に入力値があるのでこれが解答かな?
Task 6 HOMEBOUND
彼らのツイートによると、サイバー犯罪者は、彼らが主張していたように、本当に家に向かっているようです。彼らのTwitterアカウントにはたくさんの写真があるようなので、彼らの帰宅ルートを解明することができるでしょう。彼らが残したパンくずの跡をたどれば、最終目的地までの移動を追跡することができるはずです。彼らの最終目的地がわかれば、どの警察組織に調査結果を転送すべきかがわかります。
OSINTでは、明確で決定的な答えを示す「スモーキング・ガン」が存在しないことがよくあります。OSINTアナリストは、複数の情報を総合的に判断して、可能性の高いもの、低いもの、あるいは可能性のあるものについて結論を出すことを学ばなければなりません。利用可能なすべてのデータを活用することで、アナリストはより多くの情報に基づいた意思決定を行うことができ、データギャップの大きさを最小限に抑えることもできます。次の質問に答えるために、攻撃者のTwitterアカウントから収集した情報と、これまでの調査で得られた情報を使用して、攻撃者が自宅と呼んでいる場所まで追跡します。
What airport is closest to the location the attacker shared a photo from prior to getting on their flight?
twitterから該当する写真は分かったのですが、ここがどこであるかがわからない...
な仕方がないので先人の知恵を拝借すると、「yandax」というサイトを使うらしいです。
アップロードしたファイルの右下にある「Select crop area」をクリックして検索領域を背景の記念碑のみに絞ります。
結果として背景の記念碑はワシントンDCのワシントン記念塔であることがわかります。
Googleの地図で調べると「ロナルド・レーガン・ワシントン・ナショナル空港」と思われます。解答は3文字で答えます。
What airport did the attacker have their last layover in?
Twitterの写真から「Sakura Lounge」の文字が見えるのでGoogle画像検索すると日本を代表する空港の1つでした。
What lake can be seen in the map shared by the attacker as they were on their final flight home?
地図的に福島県にある湖っぽい...
What city does the attacker likely consider "home"?
攻撃者は東京から北方面へ向かっていったことがわかっています。 Wifiのアクセスポイントを検索したときに都市名が書かれていました。そこが解答になります。
完了!
