Marcadores

Integrando Maltego na nossa pesquisa OSINT

Integrando Maltego na nossa pesquisa OSINT

Integrando Maltego na nossa pesquisa OSINT

3 de novembro de 2018 
Se você estå lendo isso, eu acho que você jå tem alguma experiência na OSINT mundo e você percebeu o quanto Ê necessårio usar diferentes ferramentas ou mÊtodos para obter informaçþes, alÊm disso, você tem o desejo e quer aprender, como novos conhecimentos permitirå realizar pesquisas mais concreto e confiåvel no momento da anålise e suas conclusþes subseqßentes.
Como mencionado vĂĄrias vezes, existem vĂĄrias ferramentas e recursos on-line para executar OSINT e hoje eu quero mergulhar em um deles, quero dizer a ferramenta " Maltego ", que pode ser baixado de seu site oficial paterva.com .
O Maltego ĂŠ uma das mais poderosas ferramentas de data mining do mercado , que se caracteriza pelo seu manuseio intuitivo e seu mĂŠtodo de representar informaçþes baseadas em grĂĄficos que ligam cada resultado a outros, por exemplo; de um domĂ­nio, encontre os perfis RR.SS de seus funcionĂĄrios ou atĂŠ telefones, imagens ou endereços de e-mail de um indivĂ­duo em particular. Tudo isso graças a consultas feitas a diferentes fontes de informaçþes ou dados.
Para realizar esta tarefa, a Paterva desenvolveu 3 versĂľes desta ferramenta especĂ­fica, Maltego CE, Classic e XL. Como vocĂŞ pode imaginar, tanto o clĂĄssico quanto o XL sĂŁo as versĂľes pagas, que exigem uma licença para serem usadas e tambĂŠm possuem recursos diferentes que a versĂŁo da comunidade nĂŁo possui e que usaremos neste artigo.
E se vocĂŞ estĂĄ pensando que ao usar a versĂŁo da comunidade vocĂŞ nĂŁo vai encontrar o que estĂĄ procurando, vocĂŞ estĂĄ errado, ainda ĂŠ uma excelente alternativa para obter resultados na Internet atravĂŠs de informaçþes pĂşblicas .
Nenhuma boa pesquisa Ê fåcil, requer trabalho e perseverança para alcançar bons resultados ...
Nesta ocasião, usaremos a versão 4.1 da edição da comunidade.
Como indicado por Paterva em seu site, Maltego nos ajuda a identificar relacionamentos entre:
  • Pessoas
  • Grupos de pessoas (redes sociais)
  • Empresas
  • Organizaçþes
  • Websites
  • Infra-estrutura da Internet
  • Afiliaçþes
  • Documentos e arquivos
À primeira vista, parece bom, certo?
Temos à nossa disposição uma grande quantidade de conhecimento que usaremos para nossa pesquisa, agora o próximo passo Ê obviamente filtrar o que coletamos e permanecer com o que Ê verdadeiramente útil para nosso propósito.
Bem, após essa breve introdução, Ê hora de testar a ferramenta e depois comentarei sobre alguns recursos ou detalhes importantes a serem levados em consideração.
Vamos lĂĄ!
POSTAL DO CONVIDADO
Hoje tenho o prazer de apresentar -lhe Diego MuĂąoz (Twitter: @ DM20911 , LinkedIn:diegomunoze ), apaixonado sobre a segurança do computador, auto - ensinou estudante do mundo de Hacking de 13 anos, pentester, Analista Malware, Engenharia de Computação, coração guitarrista, atleta e gamer.
Ele participou de vĂĄrios projetos em nĂ­vel nacional e global sobre soluçþes de criptografia e criptografia, ele tambĂŠm ĂŠ blogueiro da comunidade sombreroblanco.cl .
Neste artigo, ele nos ensinarĂĄ como usar a ferramenta criada por Paterva chamada "Maltego " para executar inteligĂŞncia em fontes abertas (OSINT).
Eu deixo vocĂŞ com ele.

Instalação de Maltego

Uma vez que tenhamos baixado o Maltego, como todo software, ele nos pedirå para aceitar os termos e condiçþes que, como uma boa pråtica, eu imagino que todos sempre leiam ...
NĂłs lhe damos para aceitar e nos pedir para inserir nossas credenciais na ferramenta. Se vocĂŞ ainda nĂŁo tiver criado uma conta no Paterva, vocĂŞ deve ir para o link a seguir e criar uma conta de usuĂĄrio ( https://www.paterva.com/web7/community/community.php ).
Depois de inserir os dados solicitados e resolver o captcha, você receberå as boas-vindas e poderå observar o seguinte conteúdo (que varia de acordo com as atualizaçþes).
maltego5-panel

Criação de um projeto

Para iniciar um novo projeto que ĂŠ chamado "GrĂĄfico" pode ser feito de duas maneiras.
maltego6-new-project
Uma vez criado, um novo grĂĄfico abrirĂĄ uma janela em branco e, na barra da esquerda, encontraremos a Paleta de Entidade ou a Paleta de Entidades .
Aqui vamos encontrar todas as opçþes para realizar uma busca, a única coisa que temos que fazer Ê arrastar uma entidade e posicionå-la no gråfico em branco.
Para editĂĄ-lo, podemos clicar duas vezes nele ou ir para o painel direito na seção " Visualização de propriedade " e editar o conteĂşdo que aparece como um exemplo, neste caso, paterva.com.
maltego7-entidades
Como exemplo, vamos usar um site para o qual precisamos realizar uma busca de informaçþes, para eles usamos o botão direito do mouse na entidade que queremos consultar e mostramos uma sÊrie de opçþes para realizar transformaçþes (as opçþes variam dependendo da entidade usada). ).
maltego8-execute

Pesquisar Maltego

As pesquisas de Maltego sĂŁo chamadas de transformaçþes e o nĂşmero de resultados dependerĂĄ da versĂŁo da ferramenta usada.
As versþes pagas, por lógica, possuem um número de transformaçþes maior que a versão da comunidade.
A versão da comunidade do CE tem a capacidade de executar uma anålise em 10.000 entidades em um gråfico e pode retornar atÊ 12 entidades por transformação.
Para este exemplo, usaremos a opção " Todas as transformaçþes " no domĂ­nio de teste, que produz os seguintes resultados:
maltego9-resultado
À primeira vista, podemos identificar que, graças ao nome de domínio utilizado, encontramos um número de telefone, e-mails, relacionamento que você tem com algumas empresas, como Goodaddy, outros subdomínios, servidores DNS e até mesmo localização.
Devemos deixar claro que esta busca foi feita graças às diferentes tÊcnicas utilizadas por Maltego para a coleta de informaçþes, fazendo, por exemplo, um whois ao domínio consultado, perguntando em registros DNS, usando vårios mecanismos de busca, pesquisando em diferentes redes sociais como Facebook, twitter, Instagram, etc.
Agora, precisamos revisar cada um desses resultados clicando duas vezes sobre eles e analisando os detalhes deles.
Vamos ver que informação tem o resultado da tela com o "WWW" no lado inferior esquerdo:
maltego10-detalhes
Os detalhes estão divididos no resumo, onde tambÊm encontramos no canto superior direito a opção de acessar o Google para pesquisar informaçþes, abrir o endereço do domínio ou procurar informaçþes na WikipÊdia.
A segunda aba Ê a de anexos (se você quiser anexar algo), a terceira aba Ê adicionar notas e a última aba Ê a aba de propriedades, onde muitas vezes hå informaçþes sobre portas, imagens, URLs, metadados ou outras informaçþes relacionadas. com a pesquisa.
Uma vez obtida essa informação, podemos continuar fazendo alteraçþes nos dados jĂĄ entregues pela Malteg ou, para isso, utilizamos o site novamente e selecionamos a opção " Todas as Transformaçþes ":
maltego11-transformaçþes
Que nos dĂĄ os seguintes resultados:
maltego12-resultado
Volte informaçþes relacionadas com uma empresa de hospedagem, um e-mail, para analisar rapidamente a sua composição, podemos identificar o domínio que executar essas transformaçþes aparentemente Ê um subdomínio de outro e tambÊm obter um endereço IP.

Ferramentas externas

Agora, para encontrar mais informaçþes sobre este IP, podemos usar um whois ou ir para os seção de ferramentas OSINT de Ciberpatrulla, chegar Ă  parte de "IPs" e usar qualquer uma das ferramentas nĂŁo parecem encontrar informaçþes deste endereço IP.
No nosso caso, vamos usar a primeira opção ipinfo.io .
maltego13-ip
Com isso, faremos um "ping" no site para validar as informaçþes fornecidas por Maltego, o que nos då os seguintes resultados:
maltego14-ip
Com isso podemos ver que o endereço IP Ê o mesmo que nos mostrou a transformação e que este site estå realmente hospedado na hospedagem dos resultados.
Os próximos passos podem ser, fazer alteraçþes em cada um dos resultados obtidos, adicionar notas e relacionamentos e eliminar dados que não podem ser verificados, uma vez que Maltego nem sempre fornece dados confiåveis.
Bem ... e isso ĂŠ tudo? -NĂŁo
Maltego tem muitas opçþes.

Criando grĂĄficos

Uma das opçþes do Maltego ĂŠ usar as entidades para criar nossos prĂłprios grĂĄficos de informação . Basta arrastar as entidades que precisam deles , editar -los com as informaçþes que temos, direcionar o cursor para o objeto que vocĂŞ deseja para ligar e passar para outra criando um "link" estabelecer alguma forma de identificação, como podemos ver no exemplo a seguir:
maltego15-graphs
Ao fazer isso, podemos visualizar as informaçþes obtidas de maneira ordenada e completar nossa investigação com as diferentes origens coletadas (depois de verificar isso).
Uma vez recolhidas e classificadas estes dados, podemos selecionar cada pela tecla shift e, em seguida, usar "All TRANSFORMA" novamente, o que irĂĄ gerar uma transformação para todas as entidades selecionadas, permitindo tambĂŠm exibir os mesmos links, que nĂŁo seja ou surgimento de novas informaçþes sobre essa busca. Antes disso, teremos uma janela que nos pedirĂĄ informaçþes sobre a transformação, para isso podemos entrar, por exemplo; www.google.com para indicar que queremos usar esse mecanismo de pesquisa e damos "run".
maltego16-graphs
Em poucos segundos, Maltego mostra perfis de redes sociais, mais e-mails, localização, DNS e aliases, entre outros.
maltego17-graphs

Pesquisando em redes sociais

Neste ponto, apĂłs a obtenção das contas de redes sociais (o twitter, neste caso), vocĂŞ pode ir Ă  procura de informaçþes, mas para isso, vocĂŞ precisa para entrar atravĂŠs de uma conta de rede social a que nos referimos . Para este caso, devemos usar uma conta no Twitter e continuar fazendo transformaçþes. Ă‰ importante observar que, ao executar essas transformaçþes, a prĂłpria ferramenta nos pedirĂĄ para se conectar em uma rede social antes de continuar.
Aqui novamente clicando duas vezes em um perfil podemos ir a detalhes e observar propriedades dos resultados, onde encontramos por exemplo:
maltego18-detalhes
Nomes completos de um perfil, o URL da conta, o ID do perfil, o endereço da imagem, entre outros antecedentes.
Esta informação varia de acordo com as informaçþes coletadas por Maltego. Ă€s vezes vocĂŞ encontrarĂĄ muita informação e Ă s vezes nada, mas essa ĂŠ a graça de tudo isso, nenhuma boa pesquisa ĂŠ fĂĄcil, requer trabalho e perseverança para alcançar bons resultados.
AtĂŠ agora tem sido interessante?
Maltego traz muitas entidades para consultar, cada uma delas pode ser arrastada e usada para pesquisar diferentes tipos de dados.
maltego19-entidades
Anteriormente ou em outras versĂľes da ferramenta, havia entidades relacionadas a outras redes sociais, mas na versĂŁo que usamos para este artigo, existem apenas entidades para twitter e hashtags da mesma rede social.
maltego20-rrss
E se compararmos esta seção relacionada a redes sociais com uma antiga, podemos ver que anteriormente havia entidades para o Facebook, por exemplo:
maltego21-rrss
Por que essa entidade nĂŁo existe mais na versĂŁo 4.1 da comunidade? VocĂŞ estarĂĄ trabalhando em novas melhorias? ou em resumo, essa opção nĂŁo serĂĄ incluĂ­da em futuras atualizaçþes da ferramenta?
Deve-se perguntar a Paterva. Em qualquer caso, como alternativa no GitHub, existem entidades para o Facebook que podem ser importadas ( https://github.com/cmlh/Maltego-Facebook.git ).

O centro de transformação

Continuando com o tópico de outras entidades para buscar informaçþes, existe uma alternativa para este tipo de requisitos e por isso quero dizer o que observamos no início, quando executamos a ferramenta pela primeira vez, o uso de transformaçþes externas.
maltego22-hubs
A Paterva, dentro de seus funcionĂĄrios, possui um " Centro de Transformação ", que permite o acesso, atravĂŠs dos dados da Maltego, de diferentes ferramentas ou provedores de qualquer serviço, usando seu hub oficial para isso.
Assim como nas versĂľes Maltego, tambĂŠm hĂĄ hubs gratuitos e pagos para a versĂŁo da comunidade, que podem ser revisados ​​no seguinte link do site oficial da Paterva .
Isso nos permite ter uma ferramenta mais robusta em termos de transformaçþes para poder executar.
Como exemplo, vamos instalar o hub do SocialLinks, que nos fornecerĂĄ algumas entidades sociais para seu uso.
Ao instalĂĄ-lo, ele nos pedirĂĄ para validar o certificado e ele serĂĄ instalado em Maltego.
maltego24-install-hub
maltego25-instala-hub
Agora, se nós criamos um novo gråfico e dirigiu-se a entidades de seção, podemos ver que, desde seção de links Social, que nos permite neste momento ea versão atual do cubo, procurar informaçþes usando a entidade "Pipl" Ê , entidade "Empresa" e histórico relacionado ao "GitHub".
maltego26-install-hub
Com o passar do tempo estes sĂŁo atualizados, adicionando novas entidades ou eliminando algumas.
Deve ser lembrado que os centros de transformação dependem diretamente de cada desenvolvedor, Maltego apenas os integra em seu sistema.
Feito isso, podemos usar as novas entidades jĂĄ instaladas no Maltego, no entanto, para usĂĄ-las ĂŠ necessĂĄrio adicionar as APIs que cada hub requer . Muitas vezes basta ir ao site da entidade que queremos ocupar, registrar e copiar a API que ĂŠ utilizada para integrĂĄ-la no Maltego.
No exemplo a seguir, instalamos o hub Shodan e inserimos a API obtida de nosso login no site oficial shodan.io .
maltego27-install-hub
Instalação do hub Shodan API do Shodan do seu site, uma vez logado
maltego28-instala-hub
Feito isso, poderíamos consultar uma entidade de endereçamento IPv4 e, nas opçþes de transformação, a varredura pelo hub Shodan jå estaria integrada:
maltego29-instala-hub
Agora, se você quiser adicionar novos hubs, basta selecionar a opção para adicionar e seguir as etapas detalhadas.
maltego30-instala-hub

Exportar informaçþes

Para terminar como a maioria das ferramentas, o Maltego oferece a opção de exportar seus resultados.
Para fazer isso, sĂł ĂŠ necessĂĄrio ir para o topo da ferramenta, selecione " import | expor t "e pronto.
Por exemplo, vamos fazer uma transformação båsica para ciberpatrulla.com:
maltego31-resultados
EntĂŁo nĂłs exportamos esses resultados
maltego32-repor
NĂłs geramos um relatĂłrio e ...
maltego33-repor
Nós salvamos os resultados e jå temos um PDF com as informaçþes que coletamos com o Maltego.
maltego34-repor
TambĂŠm temos a opção de importar como tabela ou imagem, tudo ao gosto do investigador. (Dizem que uma imagem vale mais que mil palavras).

ComentĂĄrios finais

Agora devemos continuar fazendo o Doxing com as contas obtidas para reunir mais informaçþes de nosso interesse.
Para isso, vocĂŞ pode usar os guias de ciber-patrulha , bem como o repositĂłrio de ferramentas.
Mais uma vez devo mencionar que nem todas as informaçþes que Maltego oferece sĂŁo 100% confiĂĄveis , tudo que ĂŠ coletado deve ser verificado para evitar erros ou confusĂŁo que possam prejudicar nossa pesquisa, e nĂŁo devemos esquecer que Maltego ĂŠ outra ferramenta para coletar informaçþes, nĂŁo a Ăşnica o que devemos usar
Ferramentas desse tipo nos fornecem determinados tipos de pesquisas de informaçþes, pois podem identificar uma grande quantidade de informaçþes.
Se vocĂŞ estĂĄ pensando que para usĂĄ-lo vocĂŞ sĂł pode fazĂŞ-lo no Windows , tenho boas notĂ­cias, e ĂŠ que a ferramenta tambĂŠm pode ser instalada em MAC e Linux , inclusive em algumas distribuiçþes como Kali, Finder e Huron .
Agora sĂł resta interagir com Maltego e testar cada uma de suas entidades e funcionalidades, integrar novas APIs para pesquisas especĂ­ficas e desenvolver uma metodologia para nossa pesquisa.
Links de interesse :
Enviar esta postagem
Marcadores:

ComentĂĄrios

Postar um comentĂĄrio

Ebook

Postagens mais visitadas