Twitterアカウントへのインテリジェンス! CYBAR OSINT CTF 2020に挑んだ!/cybar_osint_ctf2020

Transcript

1. None

2. Twitterアカウントへのインテリジェンス! CYBAR OSINT CTF 2020に挑んだ! 第2回 初心者のためのセキュリティ勉強会 meow ( @meow_noisy)

   2020/12/17(木)

3. 発表概要  CYBAR OSINT CTF 2020の過去問に挑んだ  問題と回答を紹介する

4.  10月にあったxINT CTFが楽しかった  → 禁断症状が出る 事の発端

5.  何かOSINT系のCTFがないか「OSINT CTF」で検索すると、 CYBAR OSINT CTFなるCTFがあった模様  過去問ではあるが、さっそく挑んだ 事の発端

6. おしながき  はじめに  インテリジェンス  OSINT  CTF 

   CYBAR OSINT CTF  CTFの問題と解答  おわりに

7. はじめに インテリジェンス、OSINT、 CTF、CYBAR OSINT CTF

8.  ここでは諜報活動や、活動によって取得する情報そのもの を指す  「情報」の違い  data  存在している情報 

   information  意味のある情報  intelligence  分析、統合を経て入手できる 利用価値のある情報  (機密情報と捉えてもいい?) インテリジェンスとは data information intelligence Security Days 2020「ビジネスOSINTでわかる様々なこと」の資料を元に作成

9.  data  ”0312” という文字列  ただそこにあるだけの情報  information 

   “Aさんの誕生日: 0312”  0312がどういう意味なのかを添えた情報とセット  intelligence  Aさんの暗証番号  仮説: 「0312と入力するとクラックできるかも」  informationの情報を複数あつめ、仮説を立てる どういう意味か一例を考えてみる ※間違っているかもしれません。

10. インテリジェンスの種類 https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

11. CTF(Capture The Flag)とは  ハッカーの腕くらべのためのコンテスト  フラグと呼ばれる文字列をお題から取得することで プレイヤーの力量を測る  フラグを取得する方法が、世間で言う情報セキュリティの

    脆弱性を突く行為を以てすることが多い  コンピュータに関する様々な知識が問われる

12. どんなジャンルがあるの? 第8回CTF勉強会.pdfより

13. CYBAR OSINT CTFとは  CYBAR(スペルに注意)  オーストラリアのセキュリティイベント  CYBAR OSINT

    CTF  CYBAR内で開催されるCTF  OSINTでフラグを取得する  開催時間は2020年6月6日〜 2020年6月7日(1日間)  今年はコロナ禍ということもあり、オンラインイベントと なったようだ

14.  CTFdサーバをローカルで立ち上げ  Dockerでやるのがかんたん  CYBAR OSINT CTF2020のCTFdのバックアップファイルを 下記URLからダウンロード 

    https://github.com/cybar-party/cybar-osint-ctf- 2020/tree/master/Host%20CTF  adminユーザでバックアップファイルをimportするだけ CYBAR OSINT CTF2020の始め方

15. CYBAR OSINT CTF2020の問題  3カテゴリ全23問  私は21問正解した  3週間くらい取り組んでいた 

    運営がいないと答えられない問題もあるので 見なし正解を含んでいる  Social問に関してピックアップして説明する  Twitterアカウントへのインテリジェンスが多い

16.  2020年09月04日 就活生「裏アカ」特定サービス 「問題 社員の採用をあらかじめ排除」ツイッター激震: J-CAST ト レンド【全文表示】  https://www.j-cast.com/trend/2020/09/04393624.html?p=all

     某声優の*****をツイートから予測する  資料は現在はリンク切れ [備考] Twitterアカウントへの インテリジェンス事例

17. CTFの問題と解答 〜Socialカテゴリ編〜

18.  問題は実在するTwitterアカウントの情報を調べるが、 全部CTF用の架空の人物である  問題の難易度はかなり易しめなので、私の答案を見る前に ご自身で解いてみると楽しいと思う  ※スラスラ解いているように回答を紹介するが、 実際にはものすごく時間がかかっている 一応、補足事項

19.  The Roombas are trying to gain the upper hand

    over the human population. We believe they're going to target pivotal industries such as real estate, critical infrastructure, information security and healthcare. We don't know who yet, but we know it's a group of close friends and all are infected with COVID-19.  We need to enact Contact Tracing - finding every detail about their lives in order to predict and contain their movements. No one has heard from them since March. We must build up details about them for the agents to then take over. That's where you come in.  Our first piece of intelligence is a gentleman by the name of Marc Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready on the ground, and others covering all his other social media - your task is to find his Twitter account.  Flag format: CYBAR{x} (No @ sign)  Note: This challenge is required to unlock future challenges. You've heard of elf on the shelf, but what about the proliferation of COVID-19? 最初の問題

20.  The Roombas are trying to gain the upper hand

    over the human population. We believe they're going to target pivotal industries such as real estate, critical infrastructure, information security and healthcare. We don't know who yet, but we know it's a group of close friends and all are infected with COVID-19.  We need to enact Contact Tracing - finding every detail about their lives in order to predict and contain their movements. No one has heard from them since March. We must build up details about them for the agents to then take over. That's where you come in.  Our first piece of intelligence is a gentleman by the name of Marc Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready on the ground, and others covering all his other social media - your task is to find his Twitter account.  Flag format: CYBAR{x} (No @ sign)  Note: This challenge is required to unlock future challenges. You've heard of elf on the shelf, but what about the proliferation of COVID-19? 超訳 ルンバが社会インフラの掌握を狙ってる。 あとコロナに集団感染したグループがあるらしい。 感染対策を行うために、コンタクトトレーシング(濃厚接触者 の追跡)をしたい。 あなたにはこのグループのメンバーの活動を調べてほしい。 まずは、Hevis Properties Pty Ltd社のMarc Hevis氏の Twitterアカウントを探してほしい 第1第2パラグラフ間の繋がりがよくわからなかったが、 ルンバが悪で、コロナの感染拡大を防ぐという世界観のようだ。iRobot社に怒られるで...

21.  Twitterで”Marc Hevis”と検索すると、普通にアカウント が見つかる  フラグ: CYBAR{HevisMarc} You've heard of

    elf on the shelf, but what about the proliferation of COVID-19?

22. Contact Tracing - Part I  It's suspected the Roomba

    targeted one of Marc's friends, Alycee, with COVID19 based on her regular flights around the world to different critical infrastructure areas (e.g. gas and oil). We must undertake contact tracing for Alycee without warning the subject. We need to find out every location she has been in the past few years to get a profile. This profile will then help us predict and prevent where she might go next.  What is the full URL of Alycee's art account?  Flag format: CYBAR{https://www.x.x/x}  ルンバはMarcの友達Alyceeを狙って いるかもしれない  (感染拡大防止の為、)Alyceeのこれま で行った場所を知りたい  そのため手がかりとしてAlyceeの アート系のアカウントのURLが知りた い

23.  MarcのフォロワーからAlyceeのツイッターアカウントは 簡単に見つかる  https://twitter.com/alyceedoesstem  お絵かきが好きっぽい Contact Tracing -

    Part I

24.  Alyceeのツイートを全部見たが、アート系URLを特定できず。  しかし、アカウント名 alyceedoesstem でGoogle検索をする とDeviantArtという作品投稿サイトがヒット  フラグ: CYBAR{https://www.deviantart.com/alyceedoesstem}

    Contact Tracing - Part I

25. Contact Tracing - Part II  We need more locations

    Alycee may have or will visit in the future.  What is the exact name of the volcano that Alycee visited?  Flag format: CYBAR{x}  Alyceeの訪れる可能性の ある場所をもっと知りたい  Alyceeの訪れた火山の名 前を調べよ

26.  先述のDeviantArtにAlyceeが投稿した火山の絵 Contact Tracing - Part II

27.  よく見ると日付が書いてある  ハワイにある火山で 2018年4月30日に噴火したものはキラ ウエア火山であることがwikipediaからわかる  フラグ: CYBAR{Kīlauea} Contact

    Tracing - Part II

28. Contact Tracing - Part III  We need more locations

    Alycee may have or will visit in the future.  What is the first name of the park that Alycee likes to visit?  NOTE: There are only 5 attempts available for this challenge.  Flag format: CYBAR{x}  もっとAlyceeの行く場所を知り たい  Alyceeが好きな公園の名前を調 べよ

29.  先程のDeviantArtにAlyceeが「My Favorite Place」投稿し た絵 Contact Tracing - Part III

30.  よく見ると緯度経度が書いてある  Google mapで入力すると出てくる  フラグ: CYBAR{Wilson Botanic Park}

    Contact Tracing - Part III

31. Contact Tracing - Part IV  We are trying to

    locate in which suburb Alycee's friend **Marcel** lives in, to zone in on potential areas of risk he may potentially cause having COVID19. Please find it for us so that we can get some agents there on the ground.  Flag format: CYBAR{x}  [Note]: There are only 5 attempts allowed for this challenge.  Alyceeの友達のMarcelの地元を 調べよ  回答提出は5回まで

32.  MarcelもAlyceeのフォロワーリストから見つかる  https://twitter.com/marcelbalkins  「ツイートと返信」から、どういう発言、RT、誰とどんな会話をし ているか見ることができる Contact Tracing -

    Part IV

33.  Alyceeとの会話  https://twitter.com/alyceedoesstem/status/1233930927 509630981  超訳  A「子猫が水虫なの」 

    M「ひどい! かつて同じことがおこったから地元の 動物虐待防止協会に診てもらったわ。ブログ記事にもなった」  A「リンクある」  M「見つからんかった。6~8年も前の話。猫の名前は 鹿の名前だった」 Contact Tracing - Part IV 英語が絶望的にわからなかったが、 とりあえず件のブログをさがせば良さそう

34.  ‘ringworm kitty rspca’で検索すると下記の記事がヒット  RSPCA: STOP EUTHENISING CATS WITH

    RINGWORMS OR OTHER TREATABLE CONDITIONS.  https://www.change.org/p/rspca-stop-euthenising-cats-with- ringworms-or-other-treatable-conditions  CYBAR{Burwood}  ※猫の名前はKUDU  クーズーという鹿もいるようだ  https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%BC%E3%82%BA%E3%83%BC Contact Tracing - Part IV

35. Contact Tracing - Part V  We are trying to

    locate in which town Alycee's friend **Pong** lives in, to zone in on potential areas of risk he may potentially cause having COVID19.  Flag format: CYBAR{x}  Alyceeの友達”Pong”の住 んでいる場所を調べよ

36.  やはりPongもフォロワーから見つかる  https://twitter.com/LiPongWeiqi778  ツイート、RTを全て眺める  (動物愛護団体の屠殺動画RTをうっかり閲覧してしまい精神がやら れた) Contact

    Tracing - Part V

37.  関係ありそうなツイートはなかった  プロフィールの帯画像がヒントなのではないかと予想  帯画像をGoogle画像検索をしたところヒット  CYBAR{Blackall} Contact Tracing

    - Part V

38. Contact Tracing - Part VI  We've learned that Pong

    has a vehicle and may have visited nearby towns in the past few months. We were going to do license plate detection but no doubt the Roomba's have either changed this or prevented plate reads. We need to know the exact make and model car Pong is driving to get visual confirmation.  Find the make and model of Pong's vehicle.  Flag format: CYBAR{x x}  Pongは車を持っていて、それで数ヶ 月前から近くの場所を訪れているか もしれない  ナンバープレートから場所を割り出 そうとしているが、ルンバが画像に 加工をかけて読めなくしている  Pongの車メーカーと車種を調べてほ しい

39.  Pongのツイート  https://twitter.com/LiPongWeiqi778/status/1234806039716888 577  法定速度ギリギリで走っていたところを速度違反でパクられた件で 怒りのあまり車のナンバープレートを晒している Contact Tracing

    - Part VI

40.  ナンバープレートを検索しても出てこなかった  australian number plates searchで検索すると登録状況を 確認できるサイトを発見  Check

    registration status | Queensland Government  230YTEで検索するとレコードが見つかる。  Description(多分自由記入欄)にわざわざ車種が書いてあった  フラグ: CYBAR{KIA Stinger} Contact Tracing - Part VI

41. Contact Tracing - Part VII  Pong may have travelled

    international recently, and we need you to find out which city he was in.  Flag format: CYBAR{x}  [NOTE]: This challenge has 5 attempts only.  Pongは最近海外を旅行し たようだ  どこの都市か調べよ

42.  Pongの画像つきツイート  https://twitter.com/LiPongWeiqi778/status/1235036029033140 224 Contact Tracing - Part VII

43.  この画像をgoogle検索しても答えは出てこない  (write-upの回答は出てしまうけど...)  Googleレンズで範囲を絞ると見つかることがある  エンブレムを含んで入口辺りをGoogleレンズで調べる  Sirimavo

    Bandaranaike Memorial Exhibition Centre  スリランカのコンベンションセンターだとわかる  フラグ: CYBAR{Colombo} Contact Tracing - Part VII

44. By A Thread - Part I  Alright, we need

    to start building up a profile of Marc's friend, Alycee. Find anything you can that might help us find more information on government databases about her such as an Australian Business Number (ABN).  We managed to locate her tax agent on AirTasker - maybe you could get in touch and somehow convince him to provide some information about her tax return.  https://www.airtasker.com/users/pa ul-n-19685038/  Public records show his email address is [email protected]  Alyceeに話を戻そう。彼女の情報を もっとほしい  Australian Business Numberとか知れ たらいいな  彼女はAirTaskerというサイトで税理 士に仕事を依頼したようだ。(リンク)  税理士を信頼させれば手に入るかも 知れない

45.  税理士のAirtaskerのページ  https://www.airtasker.com/users/paul-n-19685038/  「メールでメルアドとパスワードを直に送ってくれたら仕 事するよ」みたいなことが書かれている By A Thread

    - Part I

46.  Alyceeのメアドとパスワード  Alyceeのツイートの裸体ラフの画像に写り込んでいる  https://twitter.com/alyceedoesstem/status/1234997946619289 600 By A Thread

    - Part I

47.  これで税理士にメールを送ってみるが音沙汰なし  運営がいないと多分無理なんじゃないかと思い、CTFに リアルタイムに参加された方の答えを見た  https://qiita.com/Zuckerwatte/items/292b7c9c140182de3a7f#b y-a-thread---part-i-seema  どうやら実戦ではPDFが返信で送付された模様

     OSINTの域を超えている気もする  フラグ: CYBAR{546 877 954} By A Thread - Part I

48. WFH (EoM) - Part 1  Contact Tracing continues. We

    need to locate Marc's home and evacuate the neighborhood/building and place them in isolation.  What's the name of the building Marc lives in?  Flag format: CYBAR{x}  引き続きコンタクトトレーシ ングを行う。  Marc(最初の人)の住んでいる ビルを特定してほしい。住人、 近隣住人を退避させたい

49.  Marcのツイート  https://twitter.com/HevisMarc/status/1234802973189890048  家の外に出られないらしい。バルコニーから撮ったgifアニメ  https://twitter.com/i/status/1234802973189890048 WFH (EoM)

    - Part 1

50.  一瞬、建物に人の顔のようなものが映る  「ビル 人の顔 オーストラリア」で検索  The Barak Buildingという建物らしい

    WFH (EoM) - Part 1

51.  google3Dマップで、先述の動画を撮影できそうなビルを探す  フラグ: CYBAR{QV1} WFH (EoM) - Part 1

    顔のビル

52. Pretty Fly for a WiFi  We need to find

    Marc's second office location (not the primary workplace) for the contract tracing. Business records tell us it's relatively new. Scour his Twitter account and see if there's anything that can help us geo- locate it. We don't need it down to the road, just the town (not suburb) and we can work from there.  Flag format: CYBAR{x}  Marcの新しく移転した職場のあ る町を知りたい。  ツイッターから特定せよ

53.  Marcのツイート  https://twitter.com/HevisMarc/status/1234814343851589633  新しいオフィスのインターネット回線が遅いようで、詳細を画像で あげている Pretty Fly for

    a WiFi

54.  SSIDがわかっている  ここでxint ctfの経験が活きる Pretty Fly for a WiFi

55.  WigleでSSID “TheCEONetwork”のあるオーストラリアの 場所を調べる  https://wigle.net/  CYBAR{Ballarat} Pretty Fly

    for a WiFi 件のアクセスポイント

56.  広域の地図からSSIDのポイントを表すドットを見つけたの はかなり幸運だった  やり方ミスってるかも しれない 余談 この1ピクセルを 早い段階で見つけられてよかった

57. おわりに

58. 最終的な私の順位  23問正解  本番だと28位タイ/161チーム  フェアな比較とは言えないが目安として。

59. 所感  たのしかった(小並感)  xintctfで身につけたOSINT力を発揮できて嬉しかった  難易度的には、xintctfに比べると簡単だと思う  ただし、問題に関わるツイートを全部見て、何が正解かを仮説立て る必要がある

     実務には今回のOSINT方法は役に立たないかもしれない  現実なら明示的に書かれるべき情報(会社の場所とか)を調べること はないはず  回答回数制限があったので緊張感があった  ブルートフォースしがちなので...

60.  CYBAR OSINT CTFの問題に関して紹介した  画像を公開する時は映り込みに注意しよう  OSINTは根気 まとめ

61. ご清聴ありがとうございました