Рассмотрим применение OSINT, для идентификации персональных данных хакера в конкретном случае
Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.
Вот фотография, которую оставил нам хакер.
Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так: $ strings sakurapwnedletter.svg | less
Кликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAiko
SakuraSnowAngelAiko – Вот и первый результат! Имя есть пора выяснять E-mail.
Обратимся к гуглу и посмотрим, что он нам выдаст.
Не так уж и много информации, но с этим уже можно работать.
Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.
А вот и он: https://github.com/sakurasnowangelaiko
Теперь обратимся к его PGP.
Расшифровать его нам поможет вот этоn decoder: https://cirw.in/gpg-decoder
Далее немного сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.
Исходя из активности видим что очень часто используется ETH.
Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.
0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef
Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.
Для этого нам потребуется сервис https://etherscan.io . Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.
Там же мы можем видеть, что хакер отправлял с своего кошелька Tether
Следующая действие, хакер понял, что мы его ищем и скидывает нам следующее сообщение:
Конечно на этом этапе, мы уже понимаем, что наш Хакер не самый умный на свете, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.
Следующий вопрос, также указывает на iq - 100 у нашего “объекта” исследования, а именно: На каком url храняться пароли. Казалось бы задачка уже на уровне CIA, но нет. Все проще.
Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.
Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.
Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.
Работает. Нужный ввод DK1F-G (на сайте надо регистрироваться, но это того стоит) Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.
Необходимо найти:
Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.
Последняя фотка сделанная перед перелётом выглядит так:
Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.
А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.
Озеро устанавливается по простому поиску в Google Earth
Ну а где же живет наш хакер?
Мы уже знаем ответ из этой картинки:
Данный материал переводом видеозаписи Motasem Hamdan от Schwarz_Osint.
В принципе все окончено, и не потребовалось никаких разведок и специальных служб.
Большинство актуальных OSINT инструментов вы сможете найти: