Navy Federal Phishing és attribution

Ez is egy régebbi eset lesz amiről most írni fogok. Egy Navy Federal Phishing oldalról lesz szó.

Ebbe az esetben a phishing emailben eyg short URL link volt: bit.ly/29omxTa. A short URL-eknél van egy kis trükk hogy ha '+' jelet raksz a végére akkor egész sok megmutatja a statisztikát róla és kiderül mennyien s mikor kattintottak rá. Ez most egy friss kép:

Itt látható hova irányított át, viszont onnan tovább irányított egy másik oldalra ami a phishing oldal volt. Ez sokszor bevett szokás hogy nem közvetlen oda irányítanak. A profibb phisherek ezt azért csinálják hogy szűrjék az embereket, ergo csak az fog tudni az oldalukra menni aki ezen a domainen át ment. Szóval validálják az http referert. Bár ez ritka, de célzott phisheléseknél elő szokott fordulni.

Ebben az esetben nem volt meg a phishing KIT, viszont ide nem is úgy jött fel a phisher mint az előző példámnál. Találtam két webshell-t is az oldalon és azon át néztem meg hogy hova küldi az ellopott adatokat. Nem is értem minek használt kettőt, lehet már más is járt ott előtte.

Itt ugye több info is van, elsőnek hogy hova küldte el a lopott adatokat illetve hogy van egy megjegyzés hogy milyen "Cyber Army" tagja a webshell készítője. Ez persze nem jelenti azt hogy az elkövető is tagja, de ettől még információ ami lehet hasznos lehet később.
Mint látható a logban, szerepel benne 2 email cím a $send alatt és van egy ami csak mint megjegyzés, vagy esetleg valaki szignója. Most nem akarok belemenni hogy a 'b13x1' és a 'box13.rezult' az eléggé hasonlít egymásra hogy lehetséges ugyanarról az emberről beszélünk.
Mivel 3 email cím van mind a hárómról a szokásos OSINT, facebook, skype, google+, yahoo, google, stb stb.. Ami van azt végignézed. Mivel az email cím neve is elég egyedi így az is elég jó keresési pont, még akkor is ha van esély arra hogy az false útra visz. Így is úgy is meg kell nézni hogy van e rá eredmény szóval én így is tettem. Nem elfelejteni hogy mindig keresünk a publikus postok között is hisz ez is nyom lehet, és ebben az esetben az volt az egyik fő pont:


Mondjuk a neve fake az látható de ettől függetlenül visszajött pár érdekes adat hogy miket csinál, illetve az email címe is mint kontakt info. És persze van a profilja amit át tudunk nézni hogy ki postolta ezt. Itt találhatunk a srácról képet (lehet nem saját képei hanem másé, bár nekem elég valósnak tűnnek reverse image search se találta meg őket) illetve pár olyan kép ami elég árulkodó lehet. De kitakarom mivel nem 100%os validáció.


Ezeken a képen több info is van számunkra, a legelsőn a böngészőből nem takarta ki a live-os email címét, szóval azonnal egy plusz nyom. Illetve látható spammel és van egy másik nickje is. A spammerbe amit kiküld épp linkedin phishinget küld ki ha jobban megnézzük, az email és a html szöveg is eről árulkodik.
Na de menjünk tovább hisz van egy új email címünk, keressünk erre is pontosan úgy mint eddig. És gyorsan lesz is egy találat:

Illetve használjuk a password reminder cselt, és ez ki is dobja hogy a 2 email cím összefügg hisz az a backup emailje, illetve kiad egy újat amiről nem tudjuk hogy mi. De az első nekünk már elég, ha kiegészítjük a hiányzó részt akkor az Ő email címét adja vissza.

És akkor egy összegzés, a valószínűsíthető adatokról. Több képet nem akartam már beszurni hogy Ő miért tagja az Error 404 black teamnek az is ugyanígy kijön a keresésekkel. Valami másra akarok koncentrálni amit leírtam egy régebbi cikkemben.

Mint látható megjelöltem 2 ismerősét akik érdekesebbek lehetnek. Ugyanazt a "2 gyűrűs" módszert használtam amit már leírtam. Ismerőseinek az ismerőseit is megnéztem. Szóval volt pár nap.

Szóval az egyik érdekes ismerőse, az első képen összeszedve hogy mennyi oldalt deface-elt, Nick neve, hova van hozzáférése. Aztán egy kis SQLi bemutató és egy balance a végére amiről nem tudjuk vlaid e. Szerintem azért elég ígéretes.
És a másik érdekes ismerőse akik épp egy botnet controllert tesztel illetve a nickjére azért van több találat is.