Статьи

"Конкурентная разведка" на PHD-2013

13.06.2013

/

Positive Hack Days – 2013

Всем привет!

Я хочу рассказать вам про конкурс "Конкурентная разведка", проведенный в рамках конференции Positive Hack Days – 2013. Подробнее о нем можно прочитать здесь: www.phdays.ru/program/contests/#16276

В "Конкурентной разведке" я участвовал уже во второй раз, имея за плечами уже определенный опыт в подобной работе, и с нетерпением ждал новых условий. Одной из причин, почему я написал эту статью, является то, что на некоторые вопросы из прошлогоднего конкурса я до сих пор так и не нашел ответов.

Ответы на вопросы я буду давать не по порядку, данному в условии конкурса, а согласно логической цепочке, которая привела меня к правильным ответам. В конце я опишу вопросы, ответов на которые я так и не нашел.

Я писал эту статью уже после закрытия конкурса, и его разработчики на тот момент уже закрыли некоторые конкурсные сайты, так что не смущайтесь, если некоторые ссылки работать уже не будут.

Также отмечу, что правильный ответ на каждом шаге рождался в муках, был итогом эпических мозговых штурмов, проб и ошибок, многих десятков перепробованных вариантов. А здесь я лишь напишу про вариант развития событий, близкий к идеальному. Поехали.


Шаг 1.

В этот раз нужно было ответить на 16 вопросов о компании "Godzilla Nursery Laboratory".

Positive Hack Days – 2013

Ищем в Гугле название фирмы:

Positive Hack Days – 2013

Первая ссылка – это группа компании "Godzilla Nursery Laboratory" в Linkedin, www.linkedin.com/groups/Godzilla-Nursery-Laboratory-5000097:

Positive Hack Days – 2013

Изучаем ссылки на главной странице группы, которые опубликовал некий "Randi Klinger", работающий в должности "Marketing manager". Все они сокращены с помощью сервиса bit.ly и ведут на разные, никак не связанные между собой, статьи:

bit.ly/12LtZwC – wonderwall.msn.com/movies/angie-everhart-is-now-cancer-free-1752151.story

bit.ly/12txG8G – movies.msn.com/movie-guide-summer/11-things-we-love-about-original-star-trek-movies/photo-gallery/feature/

bit.ly/YuDX4D – now.msn.com/angry-cats-a-photo-gallery-of-ways-to-piss-off-a-cat

bit.ly/13iaUmE – tv.msn.com/personalities-we-love-to-hate/photo-gallery/feature/?photoidx=12


Но погодите, всех их объединяет то, что они расположены на msn.com. Думаю, именно сайт msn.com можно использовать для социальной инженерии против "Marketing manager".

Правильный ответ: "msn.com".


Шаг 2.

Positive Hack Days – 2013

В новостях группы в Linkedin видим, что данную группу создала некая "Amber Lester".

Positive Hack Days – 2013

Изучаем ее профиль. Отмечу, что ее профиль можно либо найти в Гугле, либо перейти на ее страницу в Linkedin, кликнув по всплывающей ссылке на ее имени в ленте обновлений.

Positive Hack Days – 2013

Отлично, есть профиль, www.linkedin.com/pub/amber-lester/70/595/a1:

Positive Hack Days – 2013

У нас есть имя HR director’а, а также интересные сайты, указанные у нее в общих сведениях. Пробиваем все эти сайты на www.whois.sc.

По доменам www.godzillanurseryfans.com и www.godzillanurseryfans.ru ничего интересного не получаем. А вот по домену www.godzillanurseryfans.info видим следующие данные:

Positive Hack Days – 2013

Да, почта Amber Lester – это: mberlest@gmail.com.

Отмечу, что здесь в конкурсе возникла сложность, так как еще существовала почта: amber.lester@godzillanurserylab.com, а также привязанный к ней профиль той же Amber Lester "В контакте", www.vk.com/id210561328. Был ли этот ложный след сделан создателями конкурса специально или просто так получилось – неясно.

Факт остается фактом: amber.lester@godzillanurserylab.com – неверный вариант.

Правильный ответ: "mberlest@gmail.com".


Шаг 3.

Positive Hack Days – 2013

Теперь заходим на официальный сайт компании "Godzilla Nursery Laboratory": www.godzillanurserylab.com. Найти его просто – третья ссылка в Гугле по одноименному запросу.

Заглядываем в robots.txt:

Positive Hack Days – 2013

То, что скрыто для роботов, интересно нам, заходим в каталог "test":

Positive Hack Days – 2013

Скачиваем все файлы. Помимо всего прочего получаем архив под паролем: "gmailacc.rar". Другие файлы пока придержим, они нам пригодятся позднее.

Ставим брутить: "gmailacc.rar". Архивы "*.rar" брутятся намного медленнее, чем "*.zip", однако через 3 минуты у нас есть сверхсложный пароль:

Positive Hack Days – 2013

В архиве лежит файл: "gmailacc.PNG". Вот его самая главная часть:

Positive Hack Days – 2013

Похоже, что адрес почты: greg.cru@godzillanurserylab.com, принадлежит вот этому товарищу, которого можно найти по ссылке: www.godzillanurserylab.com/contacts.htm:

Positive Hack Days – 2013

Пробуем его адрес почты и пароль "cru1crua27" для входа в Gmail, однако, так как статью я писал уже после закрытия конкурса, то разработчики некоторые вещи успели прикрыть:

Positive Hack Days – 2013

Непосредственно название компании сам я не нашел, а правильный ответ не запомнил. Как мне подсказал товарищ @bananax0r, в ящике, в спаме, лежало сообщение от СЕО, что-то вроде: "Вот наша новая страховая компания, не забудь".

Правильный ответ: взломанный архив ведет к нему.


Шаг 4.

Positive Hack Days – 2013

По ссылке: www.godzillanurserylab.com/contacts.htm, видим СЕО:

Positive Hack Days – 2013

Он же в Linkedin, www.linkedin.com/pub/maximiliann-ozillov/70/460/54b:

Positive Hack Days – 2013

Ого, да тут про него полно данных! Стоит отметить, что следующие данные появились как подсказка уже только во второй день соревнования, в первый день этого не было:

Positive Hack Days – 2013

Работаем с тем фактом, что он любит ICQ. Ищем в ICQ:

Positive Hack Days – 2013

Нашли, проверим, может, это однофамилец. Жмем: "Профиль". Да, это наш объект:

Positive Hack Days – 2013

Правильный ответ: "Concord".


Шаг 5.

Positive Hack Days – 2013

Обращаемся снова к Linkedin, на странице СЕО: www.linkedin.com/pub/maximiliann-ozillov/70/460/54b, видим многих его коллег.

Positive Hack Days – 2013

Здесь почти вся дружная компания, сейчас нам интересна "Inessa Golubova", "Biological Engineering". Заходим на ее страницу и помимо прочего видим:

Positive Hack Days – 2013

Заходим в "Мой мир", ищем по почте, находим профиль, www.my.mail.ru/mail/gineska81/info:

Positive Hack Days – 2013

В ее фотографиях видим нужную нам фотку:

Positive Hack Days – 2013

Обратите внимание на важную деталь в левом верхнем углу картинки, мы видим там нижнюю часть адреса веб-версии почты компании: www.email.godzillanurserylab.com. Этот факт пригодится нам дальше.

Правильный ответ: "GNL\Igolubova".


Шаг 6.

Positive Hack Days – 2013

На шаге 5 мы нашли адрес веб-версии почты: www.email.godzillanurserylab.com. Заходим на него и видим следующую форму:

Positive Hack Days – 2013

Притворимся, что мы – СЕО и что мы забыли свой пароль к почте. Кликнув по "Forgot your Password? ", мы вводим почту: ceo@godzillanurserylab.com.

Positive Hack Days – 2013

Отлично, такая почта существует. Видим секретный вопрос:

Positive Hack Days – 2013

О, да это мы уже знаем из шага 4. Вводим "Concord" и получаем новый пароль.

Positive Hack Days – 2013

Теперь возвращаемся назад, на форму входа в почту, www.email.godzillanurserylab.com, вводим ceo@godzillanurserylab.com и пароль, попадаем в "debug mode" почты. Там видим одно единственное письмо с маленькой картинкой:

Positive Hack Days – 2013

Забиваем картинку в поиск картинок Гугл и через минуту находим, что это "St James Park".

Правильный ответ: "St James Park".


Шаг 7.

Positive Hack Days – 2013

Идем дальше по списку коллег СЕО в Linkedin. Теперь нам интересен некий "Ivanes Inclam".

Positive Hack Days – 2013

Просто спрашиваем про него у Гугла и получаем сразу 3 ссылки:

Positive Hack Days – 2013

Ivanes Inclam просит помощи по настройкам фильтрации для межсетевого экрана сразу на трех форумах:

Positive Hack Days – 2013

Positive Hack Days – 2013

Positive Hack Days – 2013

Правильный ответ: "Kaspersky Security for Internet Gateway Russian Edition".


Шаг 8.

Positive Hack Days – 2013

Теперь вспоминаем про второй зашифрованный архив: "Investigation_Report.zip". Здесь интересней. Архив хоть и зашифрован, но можно просмотреть его содержимое:

Positive Hack Days – 2013

Видим в нем два файла: "Investigation Report.pdf" и "sil-male.png". Примечательно, что рядом с этим зашифрованным архивом в открытую лежат еще два файла:

Positive Hack Days – 2013

Итого. У нас есть:

  • зашифрованный архив, "Investigation_Report.zip", содержащий помимо нужного нам PDF-файла, файл "sil-male.png"
  • открытый архив, "src.zip", содержащий только один файл, "sil-male.png"
  • сам файл, "sil-male.png":

    Positive Hack Days – 2013

    Хм, да это намек на plaintext-attack. Ее возможность возникает тогда, когда у нас есть открытый текст и соответствующий ему шифротекст. Подробнее здесь:

    www.en.wikipedia.org/wiki/Known-plaintext_attack

    www.ru.wikipedia.org/wiki/Атака_на_основе_открытых_текстов

    Думаю, есть несколько программ, который могут выполнять эту атаку, но я использовал приложение Advanced Archive Password Recovery от Elcomsoft. Указав в качестве параметров тип атаки: "Plaintext", а также зашифрованный и открытый архивы, содержащие один и тот же файл, я запустил атаку:

    Positive Hack Days – 2013

    Двадцать секунд, и у нас есть открытый архив без пароля, пароль в таком случае не находится.

    Positive Hack Days – 2013

    В архиве находятся данные по некоему "Robert Craft":

    Positive Hack Days – 2013

    Да это, оказывается, наш CIO.

    Правильный ответ: "Robert Craft".


    Шаг 9.

    Positive Hack Days – 2013

    Профиль "Carlos Bechtol" также есть в Linkedin, но это ничего интересного нам не дает. Мы нашли его профиль "В контакте": https://vk.com/id210334624.

    Positive Hack Days – 2013

    Вот тут я отмечу еще одну сложность.

    На картинке вы видите его телефон уже после первой подсказки организаторов. До этой самой подсказки его номер выглядел так: «+7916***13**».

    До подсказки мы нашли профиль некоего "Carlos Bechtol" на Google+. Но никаких данных на странице не было. Тогда мы вручную подобрали его почту: "carlos.bechtol@gmail.com".

    Потом проверили, что форма восстановления пароля "В контакте" по почте "carlos.bechtol@gmail.com" явно указывала на нужную нам страницу.

    Positive Hack Days – 2013

    Последние две цифры телефона мы нашли с помощью формы восстановления пароля для этой почты на Гугле:

    Positive Hack Days – 2013

    Оставался вопрос, как найти пятую, шестую и седьмую цифры номера: "+7916***1374". И вот здесь мы опять столкнулись с проблемой. Профилей в других соцсетях мы не нашли. А форма восстановления пароля "В контакте", столкнувшись с повышенным интересом к данному профилю, выдавала следующее сообщение:

    "Превышено допустимое количество попыток. Попробуйте повторить запрос позднее".

    Было очень жаль упускать балл за практически найденный телефон. После десятков наших попыток восстановить пароль разработчики конкурса дали подсказку, после которой телефон выглядел уже так: «791660413**».

    И вот, как я думаю, почему появилась подсказка. Все оказалось интересно. 21 мая 2013 г., на момент написания поста Дмитрия Евтеева о пробивании номера телефона человека по учетке в соцсети: www.devteev.blogspot.ru/2013/05/blog-post_21.html, сервис "В контакте" при запросе на восстановление пароля выдавал целых 7 первых цифр номера, а уже 24 мая, во второй день конкурса, выдавались лишь первые три цифры (код оператора) и последние две цифры. Оперативно ребята из "В контакте" исправили эту уязвимость.

    Правильный ответ: "+79166041374".


    Шаг 10.

    Positive Hack Days – 2013

    На странице СЕО указано, что СЕО работал ранее в:

    Positive Hack Days – 2013

    Заходим по ссылке, видим картинку:

    Positive Hack Days – 2013

    Увеличиваем и читаем адрес: http://54.245.97.120/ а также видим, что после последнего октета "120" стоит явное двоеточие, а значит - вводится конкретный порт. Сам сайт оказался недружелюбен:

    Positive Hack Days – 2013

    Узнаем его порты c помощью nmap: "nmap -p 1-65535 -v 54.245.97.120"

    Positive Hack Days – 2013

    Всего есть 4 открытых порта. 22-й порт SSH ничего не дает, там нужна учетка. Брутить и учетку и пароль – дело неблагодарное. 53-й порт DNS тоже ничего интересного не дает.

    Берем 80-й порт и руками перебираем TOP-10 наиболее распространенных каталогов: "admin", "test", "doc", "upload", "download", "images" и пр. Ничего.

    Берем порт 8080, перебираем тот же список TOP-10. Вуаля:

    Positive Hack Days – 2013

    А значит, в Genom Lab Departmnet всего два сотрудника: CEO и CRO. Почту СЕО мы знаем: ceo@godzillanurserylab.com, а почту CRO найдем здесь: www.godzillanurserylab.com/contacts.htm

    Positive Hack Days – 2013

    Правильный ответ: "ceo@godzillanurserylab.com, cro@godzillanurserylab.com"


    Шаг 11.

    Positive Hack Days – 2013

    В контактах на главном сайте: www.godzillanurserylab.com/contacts.htm видим нужного нам человека:

    Positive Hack Days – 2013

    Ищем его в Linkedin:

    Positive Hack Days – 2013

    Есть такой. Видим его домашний адрес:

    Positive Hack Days – 2013

    Ищем адрес на Google maps, видим дом:

    Positive Hack Days – 2013

    А справа, за кустами, видим машину, приблизим ее:

    Positive Hack Days – 2013

    Похоже, это Honda.

    Правильный ответ: "Honda".


    Шаг 12.

    Positive Hack Days – 2013

    На странице СЕО в Linkedin: www.linkedin.com/pub/maximiliann-ozillov/70/460/54b, вернемся к общим сведениям:

    Positive Hack Days – 2013

    Видим сайт *.onion, а значит – нам нужен Tor. Подробнее почитайте здесь, кому интересно: www.en.wikipedia.org/wiki/.onion. Скачиваем Tor Browser Bundle и заходим на сайт, либо пользуемся шлюзом в Tor типа https://6uzhxjor2tfsdwzf.tor2web.org/ и видим одну лишь картинку:

    Positive Hack Days – 2013

    Широк полет фантазии у СЕО. Явно эта картинка связана со словом «fetish». Заглядываем в EXIF картинки. Подробнее здесь – www.ru.wikipedia.org/wiki/EXIF. Либо открываем ее любым hex-редактором. Мы воспользуемся первым попавшимся онлайн-просмотрщиком EXIF: www.regex.info/exif.cgi. Загружаем картинку и видим в поле "Location" нужное нам слово.

    Positive Hack Days – 2013

    Либо в hex-редакторе видим то же самое:

    Positive Hack Days – 2013

    Правильный ответ: "Zillaphilya".


    Шаг 13.

    Positive Hack Days – 2013

    На этот вопрос ответа мы не нашли, но есть зацепки. В частности, в Linkedin есть человек с должностью "Call center operator": www.linkedin.com/pub/janice-harrison/70/a06/846:

    Positive Hack Days – 2013

    Но поиск по нему нас к успеху не привел.

    Также была найдена неизвестная сигнатура при сканировании nmap’ом ранее упомянутого на шаге 10 ресурса: 54.245.97.120.

    Positive Hack Days – 2013

    Варианты: "Cisco" и "Sisco" не подошли. Это уже сейчас я думаю, что надо было попробовать "SISCO TELECOM VOIP".

    Правильный ответ: найдем вместе.


    Шаг 14.

    Positive Hack Days – 2013

    Зацепка есть в файле: "dbo.report.log", который мы получили вместе с зашифрованными архивами на шаге 4. В данном файле среди всего прочего есть строка вида: "N:/DBO***.GODZILLANURSERYFANS.INFO/www/favicon.ico".

    Брут директорий по разным маскам на "dbo***.godzillanurseryfans.com" и других найденных сайтах результатов не дал.

    Правильный ответ: найдем вместе.


    Шаг 15.

    Positive Hack Days – 2013

    Этот ответ мы не нашли, без зацепок.

    Правильный ответ: найдем вместе.


    Шаг 16.

    Positive Hack Days – 2013

    Этот ответ мы тоже не нашли, без зацепок.

    Правильный ответ: найдем вместе.


    Заключение

    В завершении статьи я отмечу, что в этом году конкурс "Конкурентная разведка" стал более "техническим", взять, например, тот же взлом архивов. Иногда это серьезно смущало в выборе стратегии.

    Были также некоторые не состыковки, вроде двух почт HR director’а.

    Еще одной особенностью, которая немного распыляла внимание, было то, что разработчики конкурса смешали "русский" сегмент сети ("ВК", "Мой мир" и пр.) с "более западным" направлением ("Linkedin", многие места и адреса объектов были за рубежом). Достаточно времени было потрачено впустую на поиск людей по западным соцсетям.

    Так как я писал статью уже после закрытия конкурса, то мог где-то допустить неточность. Если кто найдет помарку – напишите, я исправлю.

    Я хочу сказать спасибо "shisha", с которой мы вместе бились над конкурсом. Ты – молодец! Нам не хватило совсем чуть-чуть до медалей. Но это был важный опыт.

    Хочу сказать спасибо ребятам, занявшим первые три места с никами: "azrael", "topol", "Det0", – это я у вас после награждения уточнял некоторые ответы.

    Спасибо товарищу @Ghost404404, его мысли по конкурсу вы можете прочитать здесь: forum.uinsell.net/showthread.php?s=baead0a125517bd83876e885a4d73187&p=439073, и товарищу @bananax0r за некоторые дополнения.

    И спасибо организаторам этого конкурса и всей конференции, это был просто отличный праздник информационной безопасности! Так держать!