Escenario
Un cliente cuya red se vio comprometida y se desconectó le encargó investigar el incidente y determinar la identidad del atacante.
El personal de respuesta a incidentes y los investigadores forenses digitales se encuentran actualmente en la escena y han realizado una investigación preliminar. Sus hallazgos muestran que el ataque se originó en una sola cuenta de usuario, probablemente, un infiltrado.
Investigue el incidente, encuentre al informante y descubra las acciones del ataque.
Preguntas
¿Cuál es la clave de API que el informante agregó a sus repositorios de GitHub?
La clave API que el informante agregó a sus repositorios es: aJFRaLHjMXvYZgLPwiJkroYLGRkNBW.
La información se obtuvo con el archivo Github.txt entregado en el laboratorio.
Al ingresar al Github mencionado en la imagen en la sección repositories hay un repositorio nombrado Project-Build---Custom-Login-Page, al ingresar en el repositorio existe un archivo nombrado Login Page.js. En él se puede obtener la API KEY proporcionado por el informante.
La contraseña entregada por el informante es: PicassoBaguette99. La información se obtuvo revisando el código fuente del archivo Login Page.js, en las líneas 58 y 59. en él se puede observar que la contraseña esta codificada en base 64. Por lo tanto, debemos decodificar esta cadena de caracteres que representa la contraseña.
La herramienta de criptomoneda es: xmrig. Para obtener la información tuve que revisar los 14 repositorios y 1 de ellos estaba relacionado con crypto-minería o cryto-moneda.
XMRig es un minero de CPU/GPU unificado de alto rendimiento, de código abierto, multiplataforma RandomX, KawPow, CryptoNight y GhostRider y un punto de referencia de RandomX . Los binarios oficiales están disponibles para Windows, Linux, macOS y FreeBSD.
¿A qué universidad fue el informante?
El informante fue a la universidad de Sorbonne. La información se obtuvo realizando una búsqueda en Google por el nickname(apodo) la cual arrojo tanto el Github y Instagram de la informante. De este último puede obtener el nombre de la informante Émilie Marseille el cual busqué el Linkedin donde obtuve la información de la universidad donde estudio.
¿En qué sitio web de juegos tenía una cuenta el informante?
El informante tiene una cuenta en Steam. Steam es una plataforma digital de video juegos desarrollada por Valve Corporation. La información se obtuvo utilizando la herramienta sherlock. En el archivo Github.txt tenemos el nombre de usuario del informante EMarseille99.
Aquí la herramienta sherlock nos da tres resultados. El que nos importa para este caso es G2G. Este es una plataforma de mercado digital para comprar tarjetas de regalo en este caso lo que llama la atención es que se pueden comprar giftcard para la plataforma Steam busque información que vincule a nuestro informante con la plataforma Steam ya que esta es la más popular.
En el perfil de Instagram del informante hay un código QR que me llamo la atención. Si que fui por él y lo escaneé.
¿Cuál es el enlace al perfil interno de Instagram?
El enlace al perfil interno de Instagram es: https://www.instagram.com/emarseille99/. La información se obtuvo realizando una búsqueda en Google.
La informante fue de vacaciones a Singapur (Singapur en inglés). La información se obtuvo desde el perfil de la cuenta de Instagram.
Aquí la imagen que nos interesa es la que esta subrayada se tomó una muestra de la imagen y se utilizó la herramienta de búsqueda de imagen de Google. Como resultado nos da Marina Bay Sands Hotel en Singapur.
¿Dónde vive la familia del informante? (Solo ciudad)
La familia del informante vive en la ciudad de Dubái. La información se obtuvo desde el perfil de la cuenta de Instagram.
Aquí la imagen que nos interesa es la que esta subrayada se tomo una muestra de la imagen y se utilizó la herramienta de búsqueda de imagen de Google. Como resultado nos da Al Urouba Street Highway 3.
En esta búsqueda no da mucha información sobre el país o ciudad. Por lo tanto, realizare una búsqueda en Google Map a ver qué información nos entrega.
Aquí tenemos más información sobre la foto nos da el país y la ciudad que representa la imagen en la foto.
Se le ha proporcionado una imagen (office.jpg) del edificio en el que la empresa tiene una oficina. ¿En qué ciudad está ubicada la empresa?
La empresa está ubicada en Birmingham.
Para obtener la información para responder esta pregunta primero utilizare la herramienta Exiftool a ver qué información nos brinda.
Como se puede observar la herramienta Exiftool no entrega información de geoposición, por lo tanto, utilizaremos Buscador de Imágenes de Google.
Enfocando la herramienta en una parte de la foto nos entrega mayor información Birmingham New Street. ahora con la herramienta Google Map buscaremos la ubicación de Birmingham New Street.
Con la información que ha proporcionado, nuestra unidad de vigilancia terrestre ahora está vigilando la dirección sospechosa de la persona de interés. Los vieron salir de su apartamento y los siguieron hasta el aeropuerto. Su avión despegó y aterrizó en otro país. Nuestro equipo de inteligencia detectó el objetivo con esta cámara IP (Webcam.png). ¿En qué estado está esta cámara?
La cámara está en el estado de Indiana.
Para obtener esta información lo primero que hice fue utilizar la herramienta Exiftool para extraer metadatos de la imagen y así encontrar datos de geoposición.
La herramienta no entrega ningún dato de geoposición. Por lo tanto, utilizare la herramienta búsqueda de imagen de Google para encontrar algún dato relacionado con la ubicación de la imagen.
Happy hack!!!
Comentarios
Publicar un comentario