Aquí va como resolver un CTF sencillo sobre un mensaje de correo electrónico. Tiene dos preguntas sencillas que no requieren mucho conocimiento técnico pero sí ser un poco avispado. En este artículo resolveré la primera y en breve publicaré la segunda parte. Como siempre yo voy a usar una máquina virtual con Kali Linux básicamente para no ejecutar nada en mi equipo real y menos si proviene de un CTF. :stuck_out_tongue_winking_eye:

El enunciado nos dice lo siguiente:

You have received the email1 below in connection with a legal action. The timing of the email is critical. Examine the email and determine if it is more likely to be legitimate or fake.

Enter L for legitimate, F for fake. More to come based on your answer.

SHA-256: 42B6FD78DAF38C03E1A744ECA1A0CB 44F6859AB892E0F32B01763EFD835B5648

Si nos descargamos el fichero EML, el primer paso como siempre es comprobar la suma SHA256. Para ello usamos el comando sha256sum y comprobamos que el “hash” coincide.

(kali㉿kali)-[~/Desktop]
└─$ sha256sum Draft_Agreement.eml 
42b6fd78daf38c03e1a744eca1a0cb44f6859ab892e0f32b01763efd835b5648  Draft_Agreement.eml
                                                                           
┌──(kali㉿kali)-[~/Desktop]
└─$

El siguiente paso lógico sería pasar por VirusTotal el fichero para ver si tiene algo raro dentro pero vamos a omitir este paso porque ya sabemos que es algo que todos hacemos antes de abrir un fichero. :wink:

Yo prefiero usar un editor de textos para abrir los ficheros EML y así poder revisar tranquilamente su contenido. En este artículo voy a utilizar el comando grep para simplificar su redacción.

A primera vista las cabeceras que contienen fechas parecen legitimas y están sincronizadas por lo que el correo parece provenir del 7 de marzo de 2016, pero aquí tiene que haber algún truco, no me creo que sea tan sencillo.

──(kali㉿kali)-[~/Desktop]
└─$ grep Mar Draft_Agreement.eml
        Mon, 7 Mar 2016 14:38:34 -0800 (PST)
        Mon, 07 Mar 2016 14:38:34 -0800 (PST)
        Mon, 07 Mar 2016 14:38:34 -0800 (PST)
Received: from sonic.gate.mail.ne1.yahoo.com by sonic306.consmr.mail.bf2.yahoo.com with HTTP; Mon, 7 Mar 2016 22:38:33 +0000
Date: Mon, 7 Mar 2016 22:38:31 +0000 (UTC)

Comprobando el resto de cabeceras vemos que hay una interesante, la que se corresponde con “X-Mailer” que habla de la versión 87.0.4280.67 de Chrome y de Edge basado en Chromium tal y como se puede ver en la siguiente captura.

┌──(kali㉿kali)-[~/Desktop]
└─$ grep 'X-Mailer' Draft_Agreement.eml        
X-Mailer: WebService/1.1.17111 YMailNorrin Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.55

Aquí hay algo raro. Si buscamos en Google podemos confirmar que esa versión de Chrome es del 17 de noviembre de 2020, con lo que es imposible que el correo sea del año 2016.

fecha_salida_chrome.png

¡Bingo! Ya tenemos la prueba para demostrar que la fecha del correo fue alterada.