Nem is kellett ennél több Január elején nekiálltam megkeresni ki lehet mögötte. Sajnos eddig nem írhattam le mert meg kellett várnom hogy eltelik 30 nap az FBI reportolás után.
Szóval mint látható elég sok gépre kihatott a dolog, tele volt vele a news feed, és hát elég sokan meg voltak ijedve. Első napokba azt mondták tuti valami Orosz vagy Koreai csapat csinálja, de szerencsére volt pár cég aki kiírta hogy szerintük csak valami script kidd elehet az mert találtak pár nyomot róla.
“When searching for Nexus Zeta 1337 we found an active threat actor on HackForums carrying the avatar name ‘Nexus Zeta,’ and who has been a HackForums member since August ’15,” the Check Point researchers said in an analysis. “Although he is rarely active in such forums, the few posts he does make disclose a less professional actor, though interestingly his most recent focus was on an initiative to establish a Mirai-like IoT botnet.”
Mit tudunk ehhez hozzá tenni? Természetesen nekünk kell az igazi neve, ki is Ő pontosan, esetleg többen vannak. Az én kiindulási alapom ez a domain volt amit már említettek a cikkben.
Igen ebből a checkpoint resarcherek már dologztak mint azt írták is a cikkben, ők az email címből indultak ki. Ilyenkor bevett szokás hogy reverse lookup hogy mennyi domain van regelve ezzel az email címmel. Ebben az esetben nincs több. De mint a régebbi cikkemben is írtam, sokszor hiába van kitöltve kamu adattal néha lehet exploitálni magát az emberi viselkedést.
Szóval ebben az esetben is hiába van kamu név és kamu adatok engem ez annyira nem érdekel. Akkor is csinálok rá invesrse lookupot. Igenis megnézem hogy van e más domain regisztrálva ezzel a címmel, névvel, telefonszámmal stb.
Egyetlen egy dologra ad vissza több találatot, az pedig a cím része: "20412 32nd Dr SE" . De ez false flag, nem tartoznak az emberhez, megnéztem a domaineket.
Megesik, éves út, mindig rengeteg ilyenbe fut az ember. De akkor jöjjön hogy megnézem hogy tartozik e bármi az eredeti email címhez.
Ez vissza ad egy Google+ profilt és rengeteg google találatot hogy Ő a Satori botnet kreátora. Ezen felül ugye mivel gmail cím kikérjük a jelszó emlékeztetőt és megnézzük miket dob fel.
Samsung Galaxy Note 8 van hozzá kötve, és 66-ra végződik a telefonszám, illetve egy backup email cím maszkolva: ken••••••••••••@gmail.com .
Abban az esetben ha az email cím törzs része elég egyedi akkor általában szoktam keresni külön arra is. Az emberek tipikusan regisztrálnak be email címeket de a név részét nem változtatják. Ez alapján fel is jön egy Jabber account találat.
És mivel a skype cím ID is elég egyedi erre is keres az ember. És akkor megint feljön egy találat:
Rendben akkor ezzel le is zártuk az email címes kiindulás részét, el kell indulni egy másik szálon is. Következő adatom a telefonszám volt. Ez alapján feljön egy facebook account amiről kiderül egy valós account. Viszont köthető ez bármihez is? Ugye azt be kell bizonyítani hogy a whoisbe kamu eredeti vagy kamu adat van megadva.
Hogy tudjuk őt bármihez is hozzá kötni, hogy azt lehessen mondani hogy igen Ő az az ember? Ez az igazán nehéz a dologban. Én első gyanus dolognak a telefonszámot láttam, 66-ra végződik mindenhol, az email reminderben is. Oda pedig nem nagyon tudsz megadni kamu számot mert küld sms-t és ugye a telod hozzá köti a gmail acchoz. Én ebben az esetben magát a googlet használtam azonosítani és megerősíteni hogy ez tényleg az a telefonszám mögötte. Mikor kérte hogy írjam be a telefonszámot ahova küldje a backup kódot beírtam azt a telefonszámot amit találtam. És elfogadta! Ergo a telefonszám hozzá tartozik. (Igen SMS-t viszont elküldte neki sajnos, de nincs jobb út)
Mivel meggyőződtünk és bebizonyítottuk hogy a telefonszám valós ezért van egy "tiszta" adatunk amivel kiindulhatunk. Nézzük meg miket rejt még.
Na, szóval a hivatalos amerikai bejegyzés szerint is él a telefonszám, és ehhez a személyhez tartozik. Mint látható azért ez elég gyanus, de elég valósnak tűnik.
Akkor nézzük meg truecaller-ban is hátha benne van. Ugye ez az a logika alapján működik hogy tudsz lekérni ha a telefonodat kontaktjait te is felszinkronizálod. Én abból szoktam kiindulni hogy benne vagyok 100 ember telefonkönyvében, akkor csak volt valaki akkora béna hogy szinkronizálta a telefonkönyvét és feltöltötte az adatait. Hátha ennél a srácnál is volt ilyen.
És a lekérdezés után ki is derül hogy igen, valaki már szinkronizálta. (Nyugodtan próbáljátok ki, meglepően sok adat van fent)
Szóval a telefonszám és név az itt is szinkronban van, viszont van ott egy email cím, illetve egy MIRAI botnetes kép. Ugye tudjuk hogy a MIRAI-ból lett kreálva a SATORI botnet. És az email is elég hasznos lehet. Ugyanezt megcsinálom rá hogy full OSINT. Van e ilyen facebook, insta, google, domain reg stb..stb..
Google+ reg. Név egyezik, a kép pedig eléggé hasonlít az elsőnek talált facebook account képére.
Ez feldobja a skype regisztrációt hogy igen, ez az email amivel a skype regelve van. :) Szóval innen már logikus hogy jó embert találtunk meg, körbeért a dolog. De nekem ennél több info kell hátha vannak még érdekességek és bizonyítékok.
És a telefonszám is ezt a skypeot oldja fel:
Most próbálom összegezni az adataim és összefuggéseket keresni közöttük, hátha találok még egymásra utaló jeleket.
Ha emlékeztek az elejére volt egy backup email cím: ken••••••••••••@gmail.com És véletlen pont ide illik be a srác email címe amit utoljára találtunk!
illetve most hogy van már 2 email törzsünk fogom és végig próbálom hogy van e másik account ami ugyanezanév@yahoo.com, ugyanezanév@outlook.com; ugyanezanév@mail.com stb stb.. Amennyit ismerek. ÉS erre is feljön egy adat hogy Ugyanez az email létezik OUTLOOK-al is! Természetesen arra is OSINTet csinálok, és kijön hogy van hozzá tartozó domain regisztráció. Ami domain regisztráció elég gyanusa név alapján, valószínűleg DDOS bérlő domain volt. És nagyon fotnos hogy volt fent neki 3 file ami gyanus. Az egyik az a Mirai forráskódja.
Na de van itt egy kis rész ami nem bizonyító erejű. Attól hogy ugyanaz a neve az email törzsnek, és más szolgáltató az nem azt jelenti hogy ugyanaz a user. Hiába mondjuk azt hogy Ő is Kenny és Ő is csinált rosszat. Szóval mikor kikértem az outlook jelszó emlékeztetőt akkor az azonnal adott is bizonyítékot. Ez is 66ra végződő szám és ha beírom a telefonszámot akkor küld kódót és elfogadja a telefonszámot. Ez azért már bizonyító erejű.
De akkor fogjuk meg és a gmailes címére is kérjünk emlékeztetőt amit találtunk a truecalleren. És ez is azonnal bebizonyítja hogy az az outlook cím hozzá tartozik.
Ezzel most már van bizonyíték hogy ki az az ember, tudjuk hogy amerikai, van képünk róla, megvan a telefonszáma, több email címe, és nem csak a Satori botnetre van bizonyítékunk hanem a MIRAI-ra is.
És még van egy kis csel ami néha működik néha nem. A skype-on ha online vagy akkor lookupolni lehet az IP címed. Én úgy tudtam hogy ez fixálva van, sőt az ismerősöm is. Viszont vannak olyan resolverek amik működnek a mai napig. Van ami pedig nem. Szóval ez alapján még egy kevés adat róla:
_______________________________________________________________________________________
_______________________________________________________________________________________
Most pedig jöjjön a picit extrémebb része amit természetesen NEM én csináltam.
Paypal accountja belogolva:
_______________________________________________________________________________________
_______________________________________________________________________________________
Tanulság:
1. Attól hogy az amerikai intelligence leírja hogy Oroszok, Koreaiak és Irániak támadják a világot nem feltétlenűl igaz. Mint tudjuk nekik ez csak azért van hogy háború legyen a vége, és persze ők soha semmi rosszat nem csinálnak. Lásd DNC hack ami már annyira kamu hogy vicces is egyben.
Ez a "koholt vád" sajnos ugyan úgy vonatkozik sok AV cégre is. Hisz ők se tudják eladni a terméket azzal hogy az Ő hyper extrém emberük talált egy 19 éves gyereket aki végigtörte a gépeket. Nekik úgy kell eladni hogy kormányzati támadások jönnek mennek. Azt olvassák az emberek, és az adja el a terméket. De ugyanez vonatkozik az első Mirai botnetre is, azt modnták Oroszok és Románok. A végére kiderült egy amerikai volt mögötte.
Reference article: https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-a…
2. Itt is kiderült hogy akár egy ember is elég nagy kárt tud tenni, és nem kell feltétlen zseninek lennie.
3. Igen, hibázott Ő is mint mindenki más.
4. Hiába nem látod az adatot, attól még meg lehet mondani hogy ott van. Ebben az esetben a kulcs a Google azonosítója volt. Nélküle nem nagyon sikerült volna mert az elején elakadtunk volna mint a Checkpoint Resarcherek.
- rodneymullen2 blogja
- A hozzászóláshoz be kell jelentkezni
- 2480 megtekintés
Hozzászólások
Qrvajól nyomod, de lehet csak azért hiszem ezt mert felét se értem a tooloknak v. a lépéseknek amiket leírsz :) Meg lehet amúgy ebből idehaza élni, megfizeti ezt a detektívesdit bárki idehaza? Egyáltalán, lehet ezt alkalmazottként űzni (azt is ugye hol, állami cybersecurity bűnüldöző szervnél v. versenyszférában?) v. csak szabadúszó "tanácsadóként"? Nem gondolkoztál USA-ba költözésen? Ott van ilyen tudásnak fizetőképes piaca.
--
- A hozzászóláshoz be kell jelentkezni
Nem ebből élek, ezt csak azért csinálom mert challenge, meg mert tagja vagyok egy csoportnak akik ezt csinálják mint közösség. Illetve az attribution az hozzá tartozik a Cyber Hunt témához, és talán a cyber intelligence részhez is. Én pedig pont Cyber Hunt-ba meloztam.
- A hozzászóláshoz be kell jelentkezni
Mint írtam, ált. felét sem értem a leírt mondataidnak :)
hint: ha direkt laikus közönségnek blogolsz itt, néha megmagyarázhatod az evidens(nek tűnő) szavak jelentését is.
--
- A hozzászóláshoz be kell jelentkezni
Ha van bármi kérdés nyugodtan írjad meg kommentben. Melyiket nem értetted vagy melyik tool nem érthető teljesen. Próbálok válaszolni mindenre. :)
- A hozzászóláshoz be kell jelentkezni
Érdekes olvasmány, azt a "picit extrémebb rész"-t pár kulcsszóval meg tudnád jobban világítani?
Köszi
- A hozzászóláshoz be kell jelentkezni
Az email címeit amiket használ megnézni különböző leakekben. Ezek tartalmazzák sokszor nem csak az akkor használt jelszót hanem IP-t is amivel látogatta.
Ebben az esetben az én 700+ GB leakjeim között több email címe is szerepelt. Aztán volt jelszava ami máég működött, volt amit újra használt. Illetve volt aminek csak az utolsó számjegyét változtatta.
Természetesen a belogolást nem én csináltam. :)
- A hozzászóláshoz be kell jelentkezni
Szép :)
- A hozzászóláshoz be kell jelentkezni
Hiába.., virtuóz! A háló használata mellett a logikus gondolkodásmódban, a következtetésekben.. (Megérdemelt puncs!)
(Bár tapasztalati sablonokban gondolkozol, de ha kiposztolod ide, marad még lehetőség a következő "keresésekhez" is?) Belegondolva.., az ilyesmiben fantáziát látók miben bízhatnának? Amikor gmail, outlook, skype címeket regelnek, szép sorjában. Miért nem TOR-os és más titkosított lehetőségeket használnak?
Mi van, amikor talált amerikai profilok mögött FSB v. más hasonló szervezetek ilyen módon is (fals profilokkal) fedett ügynökeit buktatod? - mert a TOR logikusan adná a lehetőséget mögöttes módon a követhetetlen adatcserére... (Ja, meg ez is csak egy "honeypot" a "túlságosan érdeklődők" begyűjtésére? - (De hát ez már ilyen, megmagyarázhatatlan szerelemféle a számítástechnikával, mindenre rámozdul...)
:)
- A hozzászóláshoz be kell jelentkezni
Es mi van, ha a szerzot is betalalja valaki? :D Amugy gg wp!
- A hozzászóláshoz be kell jelentkezni
Azért nem használnak advanced módszereket mert nincs szükség rá. Szinte soha nem kapják el őket, maximum cska akkor mennek valaki után ha politikai oka van vagy ha valami nagyon nagy baromságot csinált. Szóval minek csinálják ha nem kell? :) Alacsony a kerítés amit át kell ugraniuk.
Ha a szerzőt is betalálják nincs baj. Én nem csináltam rosszat és elég nagy a digitális lábnyomom szóval rengeteg infojuk lenne. :)
- A hozzászóláshoz be kell jelentkezni
Labnyom ? Hah, akkor az enyem valami 65millio eves meteorgodor.
Google only kereses par adatra is eppen nem adta ki a pocsom meretet is, szvsz, az is megtalalhato, meg jo, hogy senkit nem erdekel tulzottan...
http://karikasostor.hu - Az autentikus zajforrás.
- A hozzászóláshoz be kell jelentkezni
es meg azt hittem, hogy kifogysz a municiobol...
> Sajnos eddig nem írhattam le mert meg kellett várnom hogy eltelik 30 nap az FBI reportolás után.
Ezt nem ertem. Te jelentetted, vagy mi?
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
Tagja vagyok egy csoportnak akik ezt csinálják már elég régóta. Találtunk már botnetet ami nem volt ismert senkinek, vagy éppen új malware-eket. És ez a része is hozzá tartozik hogy megpróbáljuk megmondani hogy ki van mögötte. Aztán ezt egy kontakton át át szoktuk adni nekik mint intelligence feed.
- A hozzászóláshoz be kell jelentkezni
es miutan atadtatok, hogy az illeto Missouriban el,
a sajtoban lehozzak, hogy orosz/koreai/irani?
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
Az még előtte volt mikor nem volt ismert az ember. :) Azóta csend van, az emberrel nem történt semmi. Skypeon szoktam látni.
Amúgy az utolsó ebayes rendelésnél megadott cím ez volt:
https://www.google.com/maps/place/1318+Lupin+Ln+NW,+Salem,+OR+97304,+Eg…
- A hozzászóláshoz be kell jelentkezni
Amin csodálkozom, hogy egy személy képes 5-6 lépés után megtudni egy illető identitását, a hatóságok meg csak vonják a vállukat, esetleg lépnek valamit ha netalán valamelyik politikus gépét feltörik.
- A hozzászóláshoz be kell jelentkezni
Azt feltetelezem, hogy a hatosagoknal keves olyan ember dolgozik, aki ert az ilyesmihez, es aki van, az talan nagyobb sulyu ugyeken dolgozik (terrorizmus, emberrablas, ilyen-olyan kemkedes, stb).
- A hozzászóláshoz be kell jelentkezni
Kivancsi lennek*, hogy rolam (vagy mondjuk egy atlagos hup olvasorol) mennyi infot lehetne kideriteni.
Gondolom az egeszhez kell valamifele indulasi pont. Ha mar megvan egy email, vagy egy telefonszam, akkor valakirol, aki egyebkent nem bunozo es nem probalja tobb-kevesebb sikerrel elrejteni a nyomait, valoszinu sokkal tobb minden kideritheto.
Es mig email cimbol egyszeru ujat kesziteni minden egyes regisztraciohoz, pl. telefonszambol mar sokkal nehezebb egyedit hasznalni mindenhol.
*: de azert ha valaki hipp-hopp kiderit rolam mindent, legyszi ne tegye kozze a szemelyes adataimat nagy nyilvanossag elott! Koszi
- A hozzászóláshoz be kell jelentkezni