OSINT c Maltego. Часть 1: Знакомство

В данной статье вы познакомитесь с Maltego – самым известным OSINT-фреймворком для персональной и корпоративной разведки.

Всем салют, дорогие друзья!

В данной статье вы познакомитесь с Maltego – самым известным OSINT-фреймворком для персональной и корпоративной разведки.

Ну, а теперь давайте начнем наше знакомство с Maltego!

Что такое Maltego?

Maltego — это мощная утилита, которая умеет делать много нужного и полезного, а именно собирать и показывать в удобном виде, кучу разнообразной информации, в частности собирать информацию о различных объектах в сети, таких как сайты, аккаунты, IP адреса, домены и т.д., находить связи между всем найденным и представлять, всё это в удобном графическом виде.

Как можно использовать Maltego в тестировании на проникновение или в деятельности “Red Team”? Мы можем использовать этот инструмент для сбора и визуализации собранных данных. Кстати, бесплатная сommunity-версия Maltego идет в коробке с Kali Linux.

Как пользоваться Maltego

Задачи в Maltego называются transforms. Transforms встроены в инструмент и определяются как сценарии кода, которые выполняют определенные задачи. В Maltego также имеется множество плагинов, таких как набор инструментов SensePost, Shodan, VirusTotal, ThreatMiner и так далее. Maltego предлагает пользователю исчерпывающую информацию.

Что делает Maltego?

Maltego – это программа, которая может быть использована для определения отношений и реальных связей между:

• Людьми

• Группами людей (социальные сети)

• Компаниями

• Организациями

• Веб-сайтами

• Инфраструктура Интернета, такая как:

• Домены

• DNS-имена

• Поддержка сущностей NetBlocks

• IP-адреса

• Фразы

• Аффилиации

• Документы и файлы

• Cущности связаные между собой с помощью открытых источников.

Maltego легко и быстро установить – он использует Java, поэтому работает на Windows, Mac и Linux. Maltego предоставляет вам графический интерфейс, который делает просмотр этих связей мгновенным и точным, позволяет также увидеть скрытые связи. Используя графический интерфейс пользователя (GUI), вы можете легко увидеть взаимосвязи – даже если они находятся на расстоянии трех или четырех степеней разделения.

Maltego уникален тем, что использует мощную, гибкую структуру, которая формируется благодаря настройкам, поэтому, Maltego может быть адаптирован к вашим собственным, уникальным требованиям.

Чем Maltego может быть полезным для нас?

Maltego можно использовать на этапе сбора информации во всех работах, связанных с безопасностью. Это сэкономит наше время и позволит вам работать более точно и умно. Maltego помогает нам в вашем мыслительном процессе, наглядно демонстрируя взаимосвязи между искомыми элементами. Maltego предоставляет нам гораздо более мощный поиск, обеспечивая более разумные результаты. Если доступ к “скрытой” информации определяет ваш успех, Maltego поможет нам обнаружить ее.

Настройка Maltego в Kali Linux

Самый простой способ получить доступ к этому приложению – ввести maltego в Терминале, также мы можем открыть его из меню приложений Kali Linux.

maltego

После того, как мы впервые открыли Maltego, он покажет нам страницу выбора продукта, где мы можем купить различные версии Maltego, но Community версия Maltego бесплатн и поэтому мы выбираем ее (Maltego CE) и нажимаем на кнопку запуска, как показано на следующем снимке экрана:

После нажатия на кнопку “RUN” мы получим окно настройки Maltego. Здесь нам нужно войти в систему и настроить Maltego в первый раз. Сначала нам нужно принять условия и положения Maltego, как показано на следующем снимке экрана:

На скриншоте выше видно, что мы установили флажок ✅ в поле “Accept” и нажали на кнопку “Next”.

Теперь необходимо зарегистрироваться для создания учетных данных (если ее нет). Нам нужно нажать на “Register”, и страница регистрации откроется в нашем браузере. Вводим учетные данные, подтверждаем регистрацию на почте и логинимся.

Затем нам нужно просто нажать “Далее”, “Далее”, “Далее”, “Далее”, и перед нами откроется Maltego, как мы видим на следующем снимке экрана:

И вот тут мы столкнемся с первым минусом бесплатной версии, а именно — в Maltego установлены только базовые наборы трансформаций (модули), а остальные нужно доставить в ручную, при этом получая API на соответствующих сайтах.

• CaseFile Entities — этот модуль включает в себя все сущности из версии CaseFile, нам может быть полезно благодаря возможности работать с метаданными.

• Blockchain.info — отслеживает и визуализирует связи и транзакции между кошельками в блокчейн сети bitcoin и в сети Ethereum.

• CipherTrace — модуль для отслеживания транзакций в криптовалюте и построения цепочек связей между различными криптокошельками, может быть полезен для попыток деанонимизации владельца кошелька. Для использования бесплатной версии, нужно зарегистрировать аккаунт здесь: https://ciphertrace.com/maltego-trial/

• Have I been Pwned? — проверяет были ли взломан целевой сайт, электронная почта или аккаунт, ищет в слитых базах скомпрометированный пароль.

• Hybrid-Analysis — позволяет взаимодействовать с ресурсом Hybrid-Analysis, это что-то типа Virus Total, для использования необходимо получить API-ключи, для этого нужно зарегистрировать аккаунт https://www.hybrid-analysis.com/signup

• PassiveTotal — добавляет дополнительные трансформации для изучения доменов, данных организаций, электронной почты с использованием RiskIQ, для подключения нужен API, чтобы его получить регистрируемся на сайте https://www.passivetotal.org и в настройках получаем API, бесплатная версия ограничена 25 запросами в день, не густо, но лучше чем ничего.

• PeopleMon — позволяет искать данные пользователей по базам InGrav PeopleMon, также работает через API, для получения ключа, нужно зарегистрироваться на https://maltego.peoplemon.com/, и ключ будет отправлен на электронную почту. Для бесплатного тарифа есть лимит на 100 запросов.

• Shodan — позволяет использовать возможности поисковика Shodan, также нужен API, для его получения регистрируемся на https://www.shodan.io/ и в правом верхнем углу жмем “Show API Key”

• Social Links CE — позволяет искать данные людей и компаний, используя базы ZoomEye, Shodan, SecurityTrails, Censys, Rosette, Skype, Documentcloud, Social Links, а также добавляет возможности поиска регистрационных данных компаний по открытым базам Евросоюза и офшорных зон.

• ThreatMiner — добавляет трансформации использующие возможности https://www.threatminer.org/, позволяет анализировать и собирать информацию о доменах, IP, DNS, e-mail, а также выявлять вредоносное ПО.

• ZETAlytics Massive Passive — позволяет находить историю изменения IP адресов, искать связи между IP и доменами, электронными почтами и доменами, NS и доменами, а также искать регистрационные данные, в том числе учитывая историю изменений. Для использования требуется API, чтобы его получить регистрируемся по ссылке: https://zetalytics.com/maltego/

Запуск Maltego на Kali Linux

Теперь мы готовы использовать Maltego и запустить машину, перейдя к “Machines” в папке Menu и нажав на “Run Machine”; после чего мы сможем запустить экземпляр движка Maltego. Это показано на следующем снимке экрана:

Обычно, когда мы выбираем Maltego Public Servers, у нас есть следующие варианты выбора Machine:

• Company Stalker: чтобы получить все адреса электронной почты в домене и затем посмотреть, какие из них резолвятся в социальных сетях. Он также загружает и извлекает метаданные опубликованных в Интернете документов.

• Find Wikipedia edits: Это функция ищет псевдоним из Википедии и ищет его во всех платформах социальных сетей.

• Footprint L1: определяет базовые отпечатки домена.

• Footprint L2: определяет отпечатки среднего уровня домена .

• Footprint L3: интенсивное глубокое погружение в домен, обычно используется с осторожностью, поскольку съедает все ресурсы.

• Footprint XXL: Работает с крупными целями, такими как компания, имеющая собственные центры обработки данных, и пытается получить отпечатоки, просматривая записи sender policy framework (SPF) в надежде на netblocks, а также обратные делегированные DNS к их серверам имен.

• Person – Email Address: Получить чей-то адрес электронной почты и посмотреть, где он используется в Интернете. Вводится не домен, а полный адрес электронной почты.

• URL – Сеть и доменная информация: Это преобразование позволяет определить доменную информацию других ДВУ. Например, если мы предоставим www.yandex.ru, оно определит www.yandex.com, yandex.kz, и так далее и тому подобное.

Эксперты по кибербезопасности обычно начинают с “Footprint L1”, чтобы получить базовое представление о домене и его потенциально доступных субдоменах и соответствующих IP-адресах. В рамках сбора информации неплохо начать с этой информации, однако пентестеры могут использовать и все остальные Machine, как упоминалось ранее, для достижения своей цели. После выбора Machine нужно нажать кнопку “Next” и указать домен, например yandex.ru.

✅ На следующем скриншоте представлен обзор yandex.ru:

В верхней левой части скриншота выше мы увидим окно Palette. В окне Palette мы можем выбрать тип сущности, для которой вы хотите собрать информацию. Maltego делит сущности на шесть групп следующим образом:

• Devices Устройства, такие как телефон или камера.

• Infrastructure Инфраструктура, такая как AS, DNS-имя, домен, IPv4-адрес, MX-запись, NS-запись, netblock, URL и веб-сайт.

• Locations Местоположение на Земле.

• Penetration Тестирование на проникновение

• Personal Личные данные, такие как псевдоним, документ, адрес электронной почты, изображение, человек, номер телефона и фраза.

• Social Network Социальные сети, такие как объект Facebook, объект Twitter, принадлежность к Facebook и принадлежность к Twitter.

Если мы щелкнем правой кнопкой мыши на имени домена, мы увидим все возможные варианты преобразований, которые можно сделать с именем домена:

• DNS домена.

• Данные владельца домена.

• Адреса электронной почты домена.

• Файлы и документы из домена.

• Другие преобразования, такие как To Person, To Phone numbers и To Website.

• Все данные (All transforms)

Если мы хотим поменять домен, необходимо сначала сохранить текущий график. Чтобы сохранить график, нажмите на значок Maltego, а затем выберите Сохранить. График будет сохранен в формате файла графиков Maltego ( .mtgl ). Опциаонально доступно также шифрование файла AES-128

Заключение

Вот как Maltego работает в нашей системе Kali Linux. Это очень мощный инструмент сбора информации с графическим интерфейсом, который поставляется вместе с Kali Linux.

Друзья, напоминаем: как только на канале под постом с этой статьей наберется 200 лайков, мы приступим к написанию второй части данной статьи, в которой будем искать скамеров и прочих нехороших людей, используя Maltego. Т.е. вы увидите пошаговое использование данной программы на практике.