31
Mar
2013

Cybercrime Challenge 0x7DD #1

This series of 2 blog posts comprise a writeup of the ‘Cybercrime Challenge 0x7DD’ recruitment challenge by the Team High Tech Crime of the Dutch Police; as such, both posts are in Dutch (apologies to non-Dutch readers).

Dit is een writeup van de ‘Cybercrime Challenge 0x7DD’, een recruitmentchallenge van het Team High Tech Crime van de Politie.

1. Wat is de naam van de gijzelingsmalware die door Miss M wordt verkocht ?
A: H4ck3nb3rg

In de introductietekst wordt door het team High Tech Crime om onze hulp gevraagd bij een onderzoek naar een ransomware-bende. Als eerste aanknopingspunt krijgen we een Russische tekst, zogenaamd afkomstig van een criminele nieuwsgroep. De eerste regel hiervan luidt:

Друзья! Развертывание вымогателей в Западную Европу больше не является проблемой, благодаря нашей уникальной бэкэнда вредоносных программ: H4ck3nb3rg версии 0x7DD.

Vertalen met Google Translate levert het volgende op:

Friends! De implementatie van afpersers in West-Europa is niet langer een probleem, dankzij onze unieke backend malware: H4ck3nb3rg versie 0x7DD.

Het antwoord is dus H4ck3nb3rg.


2. Wat is het e-mailadres van Miss M ?
A: missm7dd@gmail.com

Aangezien de informatie om deze vraag te beantwoorden niet direct in de (vertaalde) post te vinden is, besluiten we om een aantal keywords te Googlen. Een op de vrij uniek ogende naam van het malwarepakket (‘H4ck3nb3rg’) levert een op met daarin een Engelse versie van de Russische nieuwsgroeppost. Deze versie lijkt echter een dump van een mailbericht te zijn, te zien aan de aanwezige emailheaders:

Delivered-To: <M8R-vftnqj@mailinator.com>
Received: from 193.200.198.87 ([193.200.198.87])
        by mail.mailinator.com with SMTP (Postfix)
        for M8R-vftnqj@mailinator.com;
        Fri, 22 Feb 2013 10:09:01 +0000 (UTC)
Received: by 193.200.198.87 with SMTP id j8so54729qah.8
        for <M8R-vftnqj@mailinator.com>; Fri, 22 Feb 2013 02:09:01 -0800 (PST)
MIME-Version: 1.0
X-Received: by 10.224.185.141 with SMTP id co13mr800511qab.33.1361527741255;
 Fri, 22 Feb 2013 02:09:01 -0800 (PST)
Received: by 10.49.71.168 with HTTP; Fri, 22 Feb 2013 02:09:01 -0800 (PST)
Date: Fri, 22 Feb 2013 11:09:01 +0100
Message-ID: <CAM-WngbS18XMX6utu-r3QzGf_34g25Z-E_Q2J5+m2z4h4hPrJg@mail.gmail.com>
Subject: H4ck3nb3rg
From: Miss M <missm7dd@gmail.com>
To: Undisclosed Recipients
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

Friends! Deploying ransomware to Western Europe is no longer a problem, thanks to our unique malware backend:
H4ck3nb3rg.
...

In bovenstaande mailheaders vinden we het gevraagde mailadres in de From-regel: missm7dd@gmail.com. Het betreft dus een dump van een mailbericht van de mysterieuze ‘Miss M.’ aan een of meerdere onbekende ontvangers.



3. Vanaf welk IP adres is de e-mail verzonden ?
A: 193.200.198.87

In de mailheaders (zie vorige vraag) is ook het IP-adres te vinden van alle systemen die het bericht heeft gepasseerd op weg naar de ontvanger. De eerste ‘Received’ regel levert het antwoord op: 193.200.198.87



4. Waar staat de M in Miss M voor ?
A: monotropa

Het antwoord op deze vraag is te vinden door het IP-adres van de vorige vraag nader te onderzoeken. Opvragen van het reverse DNS (PTR) record geeft het volledige pseudoniem van ‘Miss M.’ prijs:

$ host 193.200.198.87
87.198.200.193.in-addr.arpa domain name pointer missmonotropa.com


5. Wat is de echte naam van MissMonotropa ?
A: Liselotte Landervore

Googlen op ‘MissMonotropa’ levert het twitteraccount van Miss Monotropa op. Enig speurwerk in de tweethistorie levert een tweet aan haar op. Miss Monotropa wordt hier aangesproken met ‘Liselotte’ en de tweet is afkomstig van ‘Louise Landervore’. Dit bleek haar moeder te zijn, dus achter het pseudoniem ‘Miss Monotropa’ gaat Liselotte Landervore schuil.



6. Onder welke naam heeft Liselotte Landervore een Flickr account ?
A: monomiss19

We zetten onze zoektocht voort door te Googlen op “Liselotte Landervore”. We vinden een Tweakers.net-account dat van Liselotte lijkt te zijn, en na wat graafwerk in haar posthistorie op het forum vinden we een post, die naar een Flickr-account (monomiss19) linkt. Bingo.



7. Op welk adres woont Liselotte Landervore ?
A: Korenstraat 2 Winterswijk

In het Flickr-account vinden we een album Thuis, met daarin enkele foto’s genomen van (en vanaf) een woonhuis. Op een van de foto’s is op een straatnaambordje te lezen: Silostraat. Invullen bij Google Maps leert ons dat de Silostraat in Winterswijk ligt. Gebruikmakende van de Streetview-feature van Google Maps valt het op dat het adres dat we zoeken echter niet de Silostraat is, maar een zijstraat (Korenstraat). In de plattegrondweergave geeft Google Maps ons ook het huisnummer op de hoek van de Silostraat met de Korenstraat: 2.

Comments are closed.