Integrando Maltego na nossa pesquisa OSINT

Read

Integrando Maltego na nossa pesquisa OSINT

3 de novembro de 2018 por Julián GL

Se você está lendo isso, eu acho que você já tem alguma experiência na OSINT mundo e você percebeu o quanto é necessário usar diferentes ferramentas ou métodos para obter informações, além disso, você tem o desejo e quer aprender, como novos conhecimentos permitirá realizar pesquisas mais concreto e confiável no momento da análise e suas conclusões subseqüentes.

Como mencionado várias vezes, existem várias ferramentas e recursos on-line para executar OSINT e hoje eu quero mergulhar em um deles, quero dizer a ferramenta " Maltego ", que pode ser baixado de seu site oficial paterva.com .

O Maltego é uma das mais poderosas ferramentas de data mining do mercado , que se caracteriza pelo seu manuseio intuitivo e seu método de representar informações baseadas em gráficos que ligam cada resultado a outros, por exemplo; de um domínio, encontre os perfis RR.SS de seus funcionários ou até telefones, imagens ou endereços de e-mail de um indivíduo em particular. Tudo isso graças a consultas feitas a diferentes fontes de informações ou dados.

Para realizar esta tarefa, a Paterva desenvolveu 3 versões desta ferramenta específica, Maltego CE, Classic e XL. Como você pode imaginar, tanto o clássico quanto o XL são as versões pagas, que exigem uma licença para serem usadas e também possuem recursos diferentes que a versão da comunidade não possui e que usaremos neste artigo.

E se você está pensando que ao usar a versão da comunidade você não vai encontrar o que está procurando, você está errado, ainda é uma excelente alternativa para obter resultados na Internet através de informações públicas .

Nenhuma boa pesquisa é fácil, requer trabalho e perseverança para alcançar bons resultados ...

Nesta ocasião, usaremos a versão 4.1 da edição da comunidade.

Como indicado por Paterva em seu site, Maltego nos ajuda a identificar relacionamentos entre:

Pessoas
Grupos de pessoas (redes sociais)
Empresas
Organizações
Websites
Infra-estrutura da Internet
Afiliações
Documentos e arquivos

À primeira vista, parece bom, certo?

Temos à nossa disposição uma grande quantidade de conhecimento que usaremos para nossa pesquisa, agora o próximo passo é obviamente filtrar o que coletamos e permanecer com o que é verdadeiramente útil para nosso propósito.

Bem, após essa breve introdução, é hora de testar a ferramenta e depois comentarei sobre alguns recursos ou detalhes importantes a serem levados em consideração.

Vamos lá!

POSTAL DO CONVIDADO

Hoje tenho o prazer de apresentar -lhe a Diego Muñoz (Twitter: @ DM20911 , LinkedIn:diegomunoze ), apaixonado sobre a segurança do computador, auto - ensinou estudante do mundo de Hacking de 13 anos, pentester, Analista Malware, Engenharia de Computação, coração guitarrista, atleta e gamer.
Ele participou de vários projetos em nível nacional e global sobre soluções de criptografia e criptografia, ele também é blogueiro da comunidade sombreroblanco.cl .
Neste artigo, ele nos ensinará como usar a ferramenta criada por Paterva chamada "Maltego " para executar inteligência em fontes abertas (OSINT).
Eu deixo você com ele.

Conteúdo

Instalação de Maltego

Uma vez que tenhamos baixado o Maltego, como todo software, ele nos pedirá para aceitar os termos e condições que, como uma boa prática, eu imagino que todos sempre leiam ...

Nós lhe damos para aceitar e nos pedir para inserir nossas credenciais na ferramenta. Se você ainda não tiver criado uma conta no Paterva, você deve ir para o link a seguir e criar uma conta de usuário ( https://www.paterva.com/web7/community/community.php ).

Depois de inserir os dados solicitados e resolver o captcha, você receberá as boas-vindas e poderá observar o seguinte conteúdo (que varia de acordo com as atualizações).

Criação de um projeto

Para iniciar um novo projeto que é chamado "Gráfico" pode ser feito de duas maneiras.

Uma vez criado, um novo gráfico abrirá uma janela em branco e, na barra da esquerda, encontraremos a Paleta de Entidade ou a Paleta de Entidades .

Aqui vamos encontrar todas as opções para realizar uma busca, a única coisa que temos que fazer é arrastar uma entidade e posicioná-la no gráfico em branco.

Para editá-lo, podemos clicar duas vezes nele ou ir para o painel direito na seção " Visualização de propriedade " e editar o conteúdo que aparece como um exemplo, neste caso, paterva.com.

Como exemplo, vamos usar um site para o qual precisamos realizar uma busca de informações, para eles usamos o botão direito do mouse na entidade que queremos consultar e mostramos uma série de opções para realizar transformações (as opções variam dependendo da entidade usada). ).

Pesquisar Maltego

As pesquisas de Maltego são chamadas de transformações e o número de resultados dependerá da versão da ferramenta usada.

As versões pagas, por lógica, possuem um número de transformações maior que a versão da comunidade.

A versão da comunidade do CE tem a capacidade de executar uma análise em 10.000 entidades em um gráfico e pode retornar até 12 entidades por transformação.

Para este exemplo, usaremos a opção " Todas as transformações " no domínio de teste, que produz os seguintes resultados:

À primeira vista, podemos identificar que, graças ao nome de domínio utilizado, encontramos um número de telefone, e-mails, relacionamento que você tem com algumas empresas, como Goodaddy, outros subdomínios, servidores DNS e até mesmo localização.

Devemos deixar claro que esta busca foi feita graças às diferentes técnicas utilizadas por Maltego para a coleta de informações, fazendo, por exemplo, um whois ao domínio consultado, perguntando em registros DNS, usando vários mecanismos de busca, pesquisando em diferentes redes sociais como Facebook, twitter, Instagram, etc.

Agora, precisamos revisar cada um desses resultados clicando duas vezes sobre eles e analisando os detalhes deles.

Vamos ver que informação tem o resultado da tela com o "WWW" no lado inferior esquerdo:

Os detalhes estão divididos no resumo, onde também encontramos no canto superior direito a opção de acessar o Google para pesquisar informações, abrir o endereço do domínio ou procurar informações na Wikipédia.

A segunda aba é a de anexos (se você quiser anexar algo), a terceira aba é adicionar notas e a última aba é a aba de propriedades, onde muitas vezes há informações sobre portas, imagens, URLs, metadados ou outras informações relacionadas. com a pesquisa.

Uma vez obtida essa informação, podemos continuar fazendo alterações nos dados já entregues pela Malteg ou, para isso, utilizamos o site novamente e selecionamos a opção " Todas as Transformações ":

Que nos dá os seguintes resultados:

Volte informações relacionadas com uma empresa de hospedagem, um e-mail, para analisar rapidamente a sua composição, podemos identificar o domínio que executar essas transformações aparentemente é um subdomínio de outro e também obter um endereço IP.

Ferramentas externas

Agora, para encontrar mais informações sobre este IP, podemos usar um whois ou ir para os seção de ferramentas OSINT de Ciberpatrulla, chegar à parte de "IPs" e usar qualquer uma das ferramentas não parecem encontrar informações deste endereço IP.

No nosso caso, vamos usar a primeira opção ipinfo.io .

Com isso, faremos um "ping" no site para validar as informações fornecidas por Maltego, o que nos dá os seguintes resultados:

Com isso podemos ver que o endereço IP é o mesmo que nos mostrou a transformação e que este site está realmente hospedado na hospedagem dos resultados.

Os próximos passos podem ser, fazer alterações em cada um dos resultados obtidos, adicionar notas e relacionamentos e eliminar dados que não podem ser verificados, uma vez que Maltego nem sempre fornece dados confiáveis.

Bem ... e isso é tudo? -Não

Maltego tem muitas opções.

Criando gráficos

Uma das opções do Maltego é usar as entidades para criar nossos próprios gráficos de informação . Basta arrastar as entidades que precisam deles , editar -los com as informações que temos, direcionar o cursor para o objeto que você deseja para ligar e passar para outra criando um "link" estabelecer alguma forma de identificação, como podemos ver no exemplo a seguir:

Ao fazer isso, podemos visualizar as informações obtidas de maneira ordenada e completar nossa investigação com as diferentes origens coletadas (depois de verificar isso).

Uma vez recolhidas e classificadas estes dados, podemos selecionar cada pela tecla shift e, em seguida, usar "All TRANSFORMA" novamente, o que irá gerar uma transformação para todas as entidades selecionadas, permitindo também exibir os mesmos links, que não seja ou surgimento de novas informações sobre essa busca. Antes disso, teremos uma janela que nos pedirá informações sobre a transformação, para isso podemos entrar, por exemplo; www.google.com para indicar que queremos usar esse mecanismo de pesquisa e damos "run".

Em poucos segundos, Maltego mostra perfis de redes sociais, mais e-mails, localização, DNS e aliases, entre outros.

Pesquisando em redes sociais

Neste ponto, após a obtenção das contas de redes sociais (o twitter, neste caso), você pode ir à procura de informações, mas para isso, você precisa para entrar através de uma conta de rede social a que nos referimos . Para este caso, devemos usar uma conta no Twitter e continuar fazendo transformações. É importante observar que, ao executar essas transformações, a própria ferramenta nos pedirá para se conectar em uma rede social antes de continuar.

Aqui novamente clicando duas vezes em um perfil podemos ir a detalhes e observar propriedades dos resultados, onde encontramos por exemplo:

Nomes completos de um perfil, o URL da conta, o ID do perfil, o endereço da imagem, entre outros antecedentes.

Esta informação varia de acordo com as informações coletadas por Maltego. Às vezes você encontrará muita informação e às vezes nada, mas essa é a graça de tudo isso, nenhuma boa pesquisa é fácil, requer trabalho e perseverança para alcançar bons resultados.

Até agora tem sido interessante?

Maltego traz muitas entidades para consultar, cada uma delas pode ser arrastada e usada para pesquisar diferentes tipos de dados.

Anteriormente ou em outras versões da ferramenta, havia entidades relacionadas a outras redes sociais, mas na versão que usamos para este artigo, existem apenas entidades para twitter e hashtags da mesma rede social.

E se compararmos esta seção relacionada a redes sociais com uma antiga, podemos ver que anteriormente havia entidades para o Facebook, por exemplo:

Por que essa entidade não existe mais na versão 4.1 da comunidade? Você estará trabalhando em novas melhorias? ou em resumo, essa opção não será incluída em futuras atualizações da ferramenta?

Deve-se perguntar a Paterva. Em qualquer caso, como alternativa no GitHub, existem entidades para o Facebook que podem ser importadas ( https://github.com/cmlh/Maltego-Facebook.git ).

O centro de transformação

Continuando com o tópico de outras entidades para buscar informações, existe uma alternativa para este tipo de requisitos e por isso quero dizer o que observamos no início, quando executamos a ferramenta pela primeira vez, o uso de transformações externas.

A Paterva, dentro de seus funcionários, possui um " Centro de Transformação ", que permite o acesso, através dos dados da Maltego, de diferentes ferramentas ou provedores de qualquer serviço, usando seu hub oficial para isso.

Assim como nas versões Maltego, também há hubs gratuitos e pagos para a versão da comunidade, que podem ser revisados no seguinte link do site oficial da Paterva .

Isso nos permite ter uma ferramenta mais robusta em termos de transformações para poder executar.

Como exemplo, vamos instalar o hub do SocialLinks, que nos fornecerá algumas entidades sociais para seu uso.

Ao instalá-lo, ele nos pedirá para validar o certificado e ele será instalado em Maltego.

Agora, se nós criamos um novo gráfico e dirigiu-se a entidades de seção, podemos ver que, desde seção de links Social, que nos permite neste momento ea versão atual do cubo, procurar informações usando a entidade "Pipl" é , entidade "Empresa" e histórico relacionado ao "GitHub".

Com o passar do tempo estes são atualizados, adicionando novas entidades ou eliminando algumas.

Deve ser lembrado que os centros de transformação dependem diretamente de cada desenvolvedor, Maltego apenas os integra em seu sistema.

Feito isso, podemos usar as novas entidades já instaladas no Maltego, no entanto, para usá-las é necessário adicionar as APIs que cada hub requer . Muitas vezes basta ir ao site da entidade que queremos ocupar, registrar e copiar a API que é utilizada para integrá-la no Maltego.

No exemplo a seguir, instalamos o hub Shodan e inserimos a API obtida de nosso login no site oficial shodan.io .

Instalação do hub Shodan

API do Shodan do seu site, uma vez logado

Feito isso, poderíamos consultar uma entidade de endereçamento IPv4 e, nas opções de transformação, a varredura pelo hub Shodan já estaria integrada:

Agora, se você quiser adicionar novos hubs, basta selecionar a opção para adicionar e seguir as etapas detalhadas.

Exportar informações

Para terminar como a maioria das ferramentas, o Maltego oferece a opção de exportar seus resultados.

Para fazer isso, só é necessário ir para o topo da ferramenta, selecione " import | expor t "e pronto.

Por exemplo, vamos fazer uma transformação básica para ciberpatrulla.com:

Então nós exportamos esses resultados

Nós geramos um relatório e ...

Nós salvamos os resultados e já temos um PDF com as informações que coletamos com o Maltego.

Também temos a opção de importar como tabela ou imagem, tudo ao gosto do investigador. (Dizem que uma imagem vale mais que mil palavras).

Comentários finais

Agora devemos continuar fazendo o Doxing com as contas obtidas para reunir mais informações de nosso interesse.

Para isso, você pode usar os guias de ciber-patrulha , bem como o repositório de ferramentas.

Mais uma vez devo mencionar que nem todas as informações que Maltego oferece são 100% confiáveis , tudo que é coletado deve ser verificado para evitar erros ou confusão que possam prejudicar nossa pesquisa, e não devemos esquecer que Maltego é outra ferramenta para coletar informações, não a única o que devemos usar

Ferramentas desse tipo nos fornecem determinados tipos de pesquisas de informações, pois podem identificar uma grande quantidade de informações.

Se você está pensando que para usá-lo você só pode fazê-lo no Windows , tenho boas notícias, e é que a ferramenta também pode ser instalada em MAC e Linux , inclusive em algumas distribuições como Kali, Finder e Huron .

Agora só resta interagir com Maltego e testar cada uma de suas entidades e funcionalidades, integrar novas APIs para pesquisas específicas e desenvolver uma metodologia para nossa pesquisa.

Links de interesse :

Nexus