Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Twitterアカウントへのインテリジェンス! CYBAR OSINT CTF 2020に挑んだ!/cybar_osint_ctf2020

meow
December 17, 2020

Twitterアカウントへのインテリジェンス! CYBAR OSINT CTF 2020に挑んだ!/cybar_osint_ctf2020

2020/12/17(木) に 第2回初心者のためのセキュリティ勉強会 で発表した資料です。

https://sfb.connpass.com/event/198067/

こちらのCTFは下記のバックアップファイルを使うことで、ローカルでチャレンジできます。
https://github.com/cybar-party/cybar-osint-ctf-2020/tree/master/Host%20CTF

2022/01/12
サムネ追加しました。

meow

December 17, 2020
Tweet

More Decks by meow

Other Decks in Technology

Transcript

  1. Twitterアカウントへのインテリジェンス!
    CYBAR OSINT CTF 2020に挑んだ!
    第2回 初心者のためのセキュリティ勉強会
    meow ( @meow_noisy)
    2020/12/17(木)

    View full-size slide

  2. 発表概要
     CYBAR OSINT CTF 2020の過去問に挑んだ
     問題と回答を紹介する

    View full-size slide

  3.  10月にあったxINT CTFが楽しかった
     → 禁断症状が出る
    事の発端

    View full-size slide

  4.  何かOSINT系のCTFがないか「OSINT CTF」で検索すると、
    CYBAR OSINT CTFなるCTFがあった模様
     過去問ではあるが、さっそく挑んだ
    事の発端

    View full-size slide

  5. おしながき
     はじめに
     インテリジェンス
     OSINT
     CTF
     CYBAR OSINT CTF
     CTFの問題と解答
     おわりに

    View full-size slide

  6. はじめに
    インテリジェンス、OSINT、 CTF、CYBAR OSINT CTF

    View full-size slide

  7.  ここでは諜報活動や、活動によって取得する情報そのもの
    を指す
     「情報」の違い
     data
     存在している情報
     information
     意味のある情報
     intelligence
     分析、統合を経て入手できる
    利用価値のある情報
     (機密情報と捉えてもいい?)
    インテリジェンスとは
    data
    information
    intelligence
    Security Days 2020「ビジネスOSINTでわかる様々なこと」の資料を元に作成

    View full-size slide

  8.  data
     ”0312” という文字列
     ただそこにあるだけの情報
     information
     “Aさんの誕生日: 0312”
     0312がどういう意味なのかを添えた情報とセット
     intelligence
     Aさんの暗証番号
     仮説: 「0312と入力するとクラックできるかも」
     informationの情報を複数あつめ、仮説を立てる
    どういう意味か一例を考えてみる
    ※間違っているかもしれません。

    View full-size slide

  9. インテリジェンスの種類
    https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

    View full-size slide

  10. CTF(Capture The Flag)とは
     ハッカーの腕くらべのためのコンテスト
     フラグと呼ばれる文字列をお題から取得することで
    プレイヤーの力量を測る
     フラグを取得する方法が、世間で言う情報セキュリティの
    脆弱性を突く行為を以てすることが多い
     コンピュータに関する様々な知識が問われる

    View full-size slide

  11. どんなジャンルがあるの?
    第8回CTF勉強会.pdfより

    View full-size slide

  12. CYBAR OSINT CTFとは
     CYBAR(スペルに注意)
     オーストラリアのセキュリティイベント
     CYBAR OSINT CTF
     CYBAR内で開催されるCTF
     OSINTでフラグを取得する
     開催時間は2020年6月6日〜 2020年6月7日(1日間)
     今年はコロナ禍ということもあり、オンラインイベントと
    なったようだ

    View full-size slide

  13.  CTFdサーバをローカルで立ち上げ
     Dockerでやるのがかんたん
     CYBAR OSINT CTF2020のCTFdのバックアップファイルを
    下記URLからダウンロード
     https://github.com/cybar-party/cybar-osint-ctf-
    2020/tree/master/Host%20CTF
     adminユーザでバックアップファイルをimportするだけ
    CYBAR OSINT CTF2020の始め方

    View full-size slide

  14. CYBAR OSINT CTF2020の問題
     3カテゴリ全23問
     私は21問正解した
     3週間くらい取り組んでいた
     運営がいないと答えられない問題もあるので
    見なし正解を含んでいる
     Social問に関してピックアップして説明する
     Twitterアカウントへのインテリジェンスが多い

    View full-size slide

  15.  2020年09月04日 就活生「裏アカ」特定サービス 「問題
    社員の採用をあらかじめ排除」ツイッター激震: J-CAST ト
    レンド【全文表示】
     https://www.j-cast.com/trend/2020/09/04393624.html?p=all
     某声優の*****をツイートから予測する
     資料は現在はリンク切れ
    [備考] Twitterアカウントへの
    インテリジェンス事例

    View full-size slide

  16. CTFの問題と解答 〜Socialカテゴリ編〜

    View full-size slide

  17.  問題は実在するTwitterアカウントの情報を調べるが、
    全部CTF用の架空の人物である
     問題の難易度はかなり易しめなので、私の答案を見る前に
    ご自身で解いてみると楽しいと思う
     ※スラスラ解いているように回答を紹介するが、
    実際にはものすごく時間がかかっている
    一応、補足事項

    View full-size slide

  18.  The Roombas are trying to gain the upper hand over the human
    population. We believe they're going to target pivotal industries such
    as real estate, critical infrastructure, information security and
    healthcare. We don't know who yet, but we know it's a group of close
    friends and all are infected with COVID-19.
     We need to enact Contact Tracing - finding every detail about their
    lives in order to predict and contain their movements. No one has
    heard from them since March. We must build up details about them for
    the agents to then take over. That's where you come in.
     Our first piece of intelligence is a gentleman by the name of Marc
    Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready
    on the ground, and others covering all his other social media - your
    task is to find his Twitter account.
     Flag format: CYBAR{x} (No @ sign)
     Note: This challenge is required to unlock future challenges.
    You've heard of elf on the shelf, but what
    about the proliferation of COVID-19?
    最初の問題

    View full-size slide

  19.  The Roombas are trying to gain the upper hand over the human
    population. We believe they're going to target pivotal industries such
    as real estate, critical infrastructure, information security and
    healthcare. We don't know who yet, but we know it's a group of close
    friends and all are infected with COVID-19.
     We need to enact Contact Tracing - finding every detail about their
    lives in order to predict and contain their movements. No one has
    heard from them since March. We must build up details about them for
    the agents to then take over. That's where you come in.
     Our first piece of intelligence is a gentleman by the name of Marc
    Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready
    on the ground, and others covering all his other social media - your
    task is to find his Twitter account.
     Flag format: CYBAR{x} (No @ sign)
     Note: This challenge is required to unlock future challenges.
    You've heard of elf on the shelf, but what
    about the proliferation of COVID-19?
    超訳
    ルンバが社会インフラの掌握を狙ってる。
    あとコロナに集団感染したグループがあるらしい。
    感染対策を行うために、コンタクトトレーシング(濃厚接触者
    の追跡)をしたい。
    あなたにはこのグループのメンバーの活動を調べてほしい。
    まずは、Hevis Properties Pty Ltd社のMarc Hevis氏の
    Twitterアカウントを探してほしい
    第1第2パラグラフ間の繋がりがよくわからなかったが、
    ルンバが悪で、コロナの感染拡大を防ぐという世界観のようだ。iRobot社に怒られるで...

    View full-size slide

  20.  Twitterで”Marc Hevis”と検索すると、普通にアカウント
    が見つかる
     フラグ: CYBAR{HevisMarc}
    You've heard of elf on the shelf, but what
    about the proliferation of COVID-19?

    View full-size slide

  21. Contact Tracing - Part I
     It's suspected the Roomba targeted
    one of Marc's friends, Alycee, with
    COVID19 based on her regular flights
    around the world to different critical
    infrastructure areas (e.g. gas and oil).
    We must undertake contact tracing
    for Alycee without warning the
    subject. We need to find out every
    location she has been in the past few
    years to get a profile. This profile
    will then help us predict and prevent
    where she might go next.
     What is the full URL of Alycee's art
    account?
     Flag format:
    CYBAR{https://www.x.x/x}
     ルンバはMarcの友達Alyceeを狙って
    いるかもしれない
     (感染拡大防止の為、)Alyceeのこれま
    で行った場所を知りたい
     そのため手がかりとしてAlyceeの
    アート系のアカウントのURLが知りた

    View full-size slide

  22.  MarcのフォロワーからAlyceeのツイッターアカウントは
    簡単に見つかる
     https://twitter.com/alyceedoesstem
     お絵かきが好きっぽい
    Contact Tracing - Part I

    View full-size slide

  23.  Alyceeのツイートを全部見たが、アート系URLを特定できず。
     しかし、アカウント名 alyceedoesstem でGoogle検索をする
    とDeviantArtという作品投稿サイトがヒット
     フラグ: CYBAR{https://www.deviantart.com/alyceedoesstem}
    Contact Tracing - Part I

    View full-size slide

  24. Contact Tracing - Part II
     We need more locations
    Alycee may have or will
    visit in the future.
     What is the exact name
    of the volcano that
    Alycee visited?
     Flag format: CYBAR{x}
     Alyceeの訪れる可能性の
    ある場所をもっと知りたい
     Alyceeの訪れた火山の名
    前を調べよ

    View full-size slide

  25.  先述のDeviantArtにAlyceeが投稿した火山の絵
    Contact Tracing - Part II

    View full-size slide

  26.  よく見ると日付が書いてある
     ハワイにある火山で 2018年4月30日に噴火したものはキラ
    ウエア火山であることがwikipediaからわかる
     フラグ: CYBAR{Kīlauea}
    Contact Tracing - Part II

    View full-size slide

  27. Contact Tracing - Part III
     We need more locations
    Alycee may have or will visit
    in the future.
     What is the first name of the
    park that Alycee likes to visit?
     NOTE: There are only 5
    attempts available for this
    challenge.
     Flag format: CYBAR{x}
     もっとAlyceeの行く場所を知り
    たい
     Alyceeが好きな公園の名前を調
    べよ

    View full-size slide

  28.  先程のDeviantArtにAlyceeが「My Favorite Place」投稿し
    た絵
    Contact Tracing - Part III

    View full-size slide

  29.  よく見ると緯度経度が書いてある
     Google mapで入力すると出てくる
     フラグ: CYBAR{Wilson Botanic Park}
    Contact Tracing - Part III

    View full-size slide

  30. Contact Tracing - Part IV
     We are trying to locate in which
    suburb Alycee's friend
    **Marcel** lives in, to zone in
    on potential areas of risk he
    may potentially cause having
    COVID19. Please find it for us so
    that we can get some agents
    there on the ground.
     Flag format: CYBAR{x}
     [Note]: There are only 5
    attempts allowed for this
    challenge.
     Alyceeの友達のMarcelの地元を
    調べよ
     回答提出は5回まで

    View full-size slide

  31.  MarcelもAlyceeのフォロワーリストから見つかる
     https://twitter.com/marcelbalkins
     「ツイートと返信」から、どういう発言、RT、誰とどんな会話をし
    ているか見ることができる
    Contact Tracing - Part IV

    View full-size slide

  32.  Alyceeとの会話
     https://twitter.com/alyceedoesstem/status/1233930927
    509630981
     超訳
     A「子猫が水虫なの」
     M「ひどい! かつて同じことがおこったから地元の
    動物虐待防止協会に診てもらったわ。ブログ記事にもなった」
     A「リンクある」
     M「見つからんかった。6~8年も前の話。猫の名前は
    鹿の名前だった」
    Contact Tracing - Part IV
    英語が絶望的にわからなかったが、
    とりあえず件のブログをさがせば良さそう

    View full-size slide

  33.  ‘ringworm kitty rspca’で検索すると下記の記事がヒット
     RSPCA: STOP EUTHENISING CATS WITH RINGWORMS OR
    OTHER TREATABLE CONDITIONS.
     https://www.change.org/p/rspca-stop-euthenising-cats-with-
    ringworms-or-other-treatable-conditions
     CYBAR{Burwood}
     ※猫の名前はKUDU
     クーズーという鹿もいるようだ
     https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%BC%E3%82%BA%E3%83%BC
    Contact Tracing - Part IV

    View full-size slide

  34. Contact Tracing - Part V
     We are trying to locate in
    which town Alycee's
    friend **Pong** lives in,
    to zone in on potential
    areas of risk he may
    potentially cause having
    COVID19.
     Flag format: CYBAR{x}
     Alyceeの友達”Pong”の住
    んでいる場所を調べよ

    View full-size slide

  35.  やはりPongもフォロワーから見つかる
     https://twitter.com/LiPongWeiqi778
     ツイート、RTを全て眺める
     (動物愛護団体の屠殺動画RTをうっかり閲覧してしまい精神がやら
    れた)
    Contact Tracing - Part V

    View full-size slide

  36.  関係ありそうなツイートはなかった
     プロフィールの帯画像がヒントなのではないかと予想
     帯画像をGoogle画像検索をしたところヒット
     CYBAR{Blackall}
    Contact Tracing - Part V

    View full-size slide

  37. Contact Tracing - Part VI
     We've learned that Pong has a
    vehicle and may have visited
    nearby towns in the past few
    months. We were going to do
    license plate detection but no
    doubt the Roomba's have either
    changed this or prevented plate
    reads. We need to know the exact
    make and model car Pong is driving
    to get visual confirmation.
     Find the make and model of Pong's
    vehicle.
     Flag format: CYBAR{x x}
     Pongは車を持っていて、それで数ヶ
    月前から近くの場所を訪れているか
    もしれない
     ナンバープレートから場所を割り出
    そうとしているが、ルンバが画像に
    加工をかけて読めなくしている
     Pongの車メーカーと車種を調べてほ
    しい

    View full-size slide

  38.  Pongのツイート
     https://twitter.com/LiPongWeiqi778/status/1234806039716888
    577
     法定速度ギリギリで走っていたところを速度違反でパクられた件で
    怒りのあまり車のナンバープレートを晒している
    Contact Tracing - Part VI

    View full-size slide

  39.  ナンバープレートを検索しても出てこなかった
     australian number plates searchで検索すると登録状況を
    確認できるサイトを発見
     Check registration status | Queensland Government
     230YTEで検索するとレコードが見つかる。
     Description(多分自由記入欄)にわざわざ車種が書いてあった
     フラグ: CYBAR{KIA Stinger}
    Contact Tracing - Part VI

    View full-size slide

  40. Contact Tracing - Part VII
     Pong may have travelled
    international recently,
    and we need you to find
    out which city he was in.
     Flag format: CYBAR{x}
     [NOTE]: This challenge
    has 5 attempts only.
     Pongは最近海外を旅行し
    たようだ
     どこの都市か調べよ

    View full-size slide

  41.  Pongの画像つきツイート
     https://twitter.com/LiPongWeiqi778/status/1235036029033140
    224
    Contact Tracing - Part VII

    View full-size slide

  42.  この画像をgoogle検索しても答えは出てこない
     (write-upの回答は出てしまうけど...)
     Googleレンズで範囲を絞ると見つかることがある
     エンブレムを含んで入口辺りをGoogleレンズで調べる
     Sirimavo Bandaranaike Memorial Exhibition Centre
     スリランカのコンベンションセンターだとわかる
     フラグ: CYBAR{Colombo}
    Contact Tracing - Part VII

    View full-size slide

  43. By A Thread - Part I
     Alright, we need to start building
    up a profile of Marc's friend, Alycee.
    Find anything you can that might
    help us find more information on
    government databases about her
    such as an Australian Business
    Number (ABN).
     We managed to locate her tax agent
    on AirTasker - maybe you could get
    in touch and somehow convince
    him to provide some information
    about her tax return.
     https://www.airtasker.com/users/pa
    ul-n-19685038/
     Public records show his email
    address is [email protected]
     Alyceeに話を戻そう。彼女の情報を
    もっとほしい
     Australian Business Numberとか知れ
    たらいいな
     彼女はAirTaskerというサイトで税理
    士に仕事を依頼したようだ。(リンク)
     税理士を信頼させれば手に入るかも
    知れない

    View full-size slide

  44.  税理士のAirtaskerのページ
     https://www.airtasker.com/users/paul-n-19685038/
     「メールでメルアドとパスワードを直に送ってくれたら仕
    事するよ」みたいなことが書かれている
    By A Thread - Part I

    View full-size slide

  45.  Alyceeのメアドとパスワード
     Alyceeのツイートの裸体ラフの画像に写り込んでいる
     https://twitter.com/alyceedoesstem/status/1234997946619289
    600
    By A Thread - Part I

    View full-size slide

  46.  これで税理士にメールを送ってみるが音沙汰なし
     運営がいないと多分無理なんじゃないかと思い、CTFに
    リアルタイムに参加された方の答えを見た
     https://qiita.com/Zuckerwatte/items/292b7c9c140182de3a7f#b
    y-a-thread---part-i-seema
     どうやら実戦ではPDFが返信で送付された模様
     OSINTの域を超えている気もする
     フラグ: CYBAR{546 877 954}
    By A Thread - Part I

    View full-size slide

  47. WFH (EoM) - Part 1
     Contact Tracing continues.
    We need to locate Marc's
    home and evacuate the
    neighborhood/building and
    place them in isolation.
     What's the name of the
    building Marc lives in?
     Flag format: CYBAR{x}
     引き続きコンタクトトレーシ
    ングを行う。
     Marc(最初の人)の住んでいる
    ビルを特定してほしい。住人、
    近隣住人を退避させたい

    View full-size slide

  48.  Marcのツイート
     https://twitter.com/HevisMarc/status/1234802973189890048
     家の外に出られないらしい。バルコニーから撮ったgifアニメ
     https://twitter.com/i/status/1234802973189890048
    WFH (EoM) - Part 1

    View full-size slide

  49.  一瞬、建物に人の顔のようなものが映る
     「ビル 人の顔 オーストラリア」で検索
     The Barak Buildingという建物らしい
    WFH (EoM) - Part 1

    View full-size slide

  50.  google3Dマップで、先述の動画を撮影できそうなビルを探す
     フラグ: CYBAR{QV1}
    WFH (EoM) - Part 1
    顔のビル

    View full-size slide

  51. Pretty Fly for a WiFi
     We need to find Marc's second
    office location (not the
    primary workplace) for the
    contract tracing. Business
    records tell us it's relatively
    new. Scour his Twitter
    account and see if there's
    anything that can help us geo-
    locate it. We don't need it
    down to the road, just the
    town (not suburb) and we can
    work from there.
     Flag format: CYBAR{x}
     Marcの新しく移転した職場のあ
    る町を知りたい。
     ツイッターから特定せよ

    View full-size slide

  52.  Marcのツイート
     https://twitter.com/HevisMarc/status/1234814343851589633
     新しいオフィスのインターネット回線が遅いようで、詳細を画像で
    あげている
    Pretty Fly for a WiFi

    View full-size slide

  53.  SSIDがわかっている
     ここでxint ctfの経験が活きる
    Pretty Fly for a WiFi

    View full-size slide

  54.  WigleでSSID “TheCEONetwork”のあるオーストラリアの
    場所を調べる
     https://wigle.net/
     CYBAR{Ballarat}
    Pretty Fly for a WiFi
    件のアクセスポイント

    View full-size slide

  55.  広域の地図からSSIDのポイントを表すドットを見つけたの
    はかなり幸運だった
     やり方ミスってるかも
    しれない
    余談
    この1ピクセルを
    早い段階で見つけられてよかった

    View full-size slide

  56. おわりに

    View full-size slide

  57. 最終的な私の順位
     23問正解
     本番だと28位タイ/161チーム
     フェアな比較とは言えないが目安として。

    View full-size slide

  58. 所感
     たのしかった(小並感)
     xintctfで身につけたOSINT力を発揮できて嬉しかった
     難易度的には、xintctfに比べると簡単だと思う
     ただし、問題に関わるツイートを全部見て、何が正解かを仮説立て
    る必要がある
     実務には今回のOSINT方法は役に立たないかもしれない
     現実なら明示的に書かれるべき情報(会社の場所とか)を調べること
    はないはず
     回答回数制限があったので緊張感があった
     ブルートフォースしがちなので...

    View full-size slide

  59.  CYBAR OSINT CTFの問題に関して紹介した
     画像を公開する時は映り込みに注意しよう
     OSINTは根気
    まとめ

    View full-size slide

  60. ご清聴ありがとうございました

    View full-size slide