AdvisorBM
AdvisorBM личный блог
27 октября 2022, 18:34

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае 

Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.

Вот фотография, которую оставил нам хакер.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так: $ strings sakurapwnedletter.svg | less

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случаеВот так будет выглядеть выдача

Кликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAiko

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

SakuraSnowAngelAiko – Вот и первый результат! Имя есть пора выяснять E-mail.

Обратимся к гуглу и посмотрим, что он нам выдаст.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Не так уж и много информации, но с этим уже можно работать.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.

А вот и он: https://github.com/sakurasnowangelaiko

Теперь обратимся к его PGP.

https://github.com/sakurasnowangelaiko/PGP/commit/df43e6813e861a01fe3a9996214b01fe5e95c81c

Расшифровать его нам поможет вот этоn decoder: https://cirw.in/gpg-decoder

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Далее немного сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Исходя из активности видим что очень часто используется ETH.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.

 

0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.

Для этого нам потребуется сервис https://etherscan.io . Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Там же мы можем видеть, что хакер отправлял с своего кошелька Tether

Следующая действие, хакер понял, что мы его ищем и скидывает нам следующее сообщение:

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Ну что сказать. Нервы заставляют делать ошибки, но для нас это хорошо.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Конечно на этом этапе, мы уже понимаем, что наш Хакер не самый умный на свете, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.

Следующий вопрос, также указывает на iq — 100 у нашего “объекта” исследования, а именно: На каком url храняться пароли. Казалось бы задачка уже на уровне CIA, но нет. Все проще.

Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.

Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Работает. Нужный ввод DK1F-G (на сайте надо регистрироваться, но это того стоит) Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.

Необходимо найти:

Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.

Последняя фотка сделанная перед перелётом выглядит так:

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Озеро устанавливается по простому поиску в Google Earth

Ну а где же живет наш хакер?

Мы уже знаем ответ из этой картинки:

Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае

Данный материал переводом видеозаписи M o t a s e m H a m d a n от S c h w a r z _ O s i n t.

В принципе все окончено, и не потребовалось никаких разведок и специальных служб.

Большинство актуальных OSINT инструментов вы сможете найти:

OSINT Инструменты 2022 часть1 >>>

OSINT Инструменты 2022 часть2 >>>

НОВОСТИ ADVISOR BM >>>

1 Комментарий

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн