Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.
Вот фотография, которую оставил нам хакер.
Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так: $ strings sakurapwnedletter.svg | less
Вот так будет выглядеть выдачаКликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAiko
SakuraSnowAngelAiko – Вот и первый результат! Имя есть пора выяснять E-mail.
Обратимся к гуглу и посмотрим, что он нам выдаст.
Не так уж и много информации, но с этим уже можно работать.
Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.
А вот и он: https://github.com/sakurasnowangelaiko
Теперь обратимся к его PGP.
https://github.com/sakurasnowangelaiko/PGP/commit/df43e6813e861a01fe3a9996214b01fe5e95c81c
Расшифровать его нам поможет вот этоn decoder: https://cirw.in/gpg-decoder
Далее немного сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.
Исходя из активности видим что очень часто используется ETH.
Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.
0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef
Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.
Для этого нам потребуется сервис https://etherscan.io . Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.
Там же мы можем видеть, что хакер отправлял с своего кошелька Tether
Следующая действие, хакер понял, что мы его ищем и скидывает нам следующее сообщение:
Ну что сказать. Нервы заставляют делать ошибки, но для нас это хорошо.
Конечно на этом этапе, мы уже понимаем, что наш Хакер не самый умный на свете, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.
Следующий вопрос, также указывает на iq — 100 у нашего “объекта” исследования, а именно: На каком url храняться пароли. Казалось бы задачка уже на уровне CIA, но нет. Все проще.
Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.
Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.
Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.
Работает. Нужный ввод DK1F-G (на сайте надо регистрироваться, но это того стоит) Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.
Необходимо найти:
Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.
Последняя фотка сделанная перед перелётом выглядит так:
Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.
А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.
Озеро устанавливается по простому поиску в Google Earth
Ну а где же живет наш хакер?
Мы уже знаем ответ из этой картинки:
Данный материал переводом видеозаписи M o t a s e m H a m d a n от S c h w a r z _ O s i n t.
В принципе все окончено, и не потребовалось никаких разведок и специальных служб.
Большинство актуальных OSINT инструментов вы сможете найти:
- OSINT Инструменты 2022 часть1 >>>