Maltego: приручаем

Мальтега - инструмент для OSINT с нехилыми возможностями по автоматизации и ещё более нехилыми - для самостоятельного накопления нанетсталкеренной информации в схематическом виде. Например, составление социальных графов или занесение связей между найденными на конкретных адресах/аккаунтах фрагментами контента. В этом посте поглядим, что она позволяет сделать ручками.

Открываем...

Начинаем с создания New Graph (ctrl+t либо выбрать в меню).

Узлами графов у нас будут Entities, т.е. "сущности". Это общее название для людей, серверов, портов, изображений...всех ресурсов, какие мы можем захотеть внести. Каждой можно задать описание, и форма для него разнится в зависимости от типа сущности. Понятие "сущности" встречается чуть ли не в любом осинт-софте, где есть возможности накопления информации.

Слева и справа от рабочего поля (листа с будущим графом) есть вкладки с инструментами. Они открываются по наведению, это неудобно, но можно закрепить ("Dock") их, нажав на точку.

Выбираем сущности в левой панели: вкладка Entity Palette. Они там разделены на группы по темам для большего удобства. Перетащив на граф нужную, можем заносить инфу: вкладка Property View.

Более подробное редактирование (Entity Details) - двойной клик по узлу.

На каждом узле при наведении появляются флажок-закладка, возможность примечания (двойной клик на листочек), пин (нужен при упорядочивании графа).

Но это только узлы, а как же связи? Достаточно протянуть мышью от одного узла к другому, и откроется окно настроек. Здесь мы можем создавать их с разным форматированием, и разный тип/цвет линии укажут на разный тип связи: владение ресурсом, социальная связь между людьми и т.д. Если этого недостаточно, можно подписывать связи:

Этот фрагмент большого графа взят из статьи "Они вам не новости", если кто ещё не видел её - советую. Годный пример объёмной разведческой вылазки. Файл с этим графом доступен для скачивания.

Слева также есть маленькая панелька Layout, она позволяет приводить граф в изящный вид, автоматически перетасовывая узлы или меняя их размеры.

Если узлов слишком много, можно воспользоваться Коллекциями - вкладка Collections наверху. Задвинуть слайдер на нужный минимум, после которого узлы (только однотипные!) сгруппируются. И поснимать с них пины.

Остальные панели связаны с авто-преобразованиями, их пока не трогаем.

Для организации

...И что же, всё так просто? Освоили?

Ага, до момента реального использования на практике.

...И берём на ручки!

Например, я хочу проиллюстрировать графом грядущий пост о прогулках по каналам в телеге, а заодно и сохранить найденное. Я сталкиваюсь с двумя "сущностями": это персональные акки и каналы. И в мальтеге таких, естественно, не предусмотрено. Зато есть возможность надрессировать Entity Palette (и многие другие функции, кстати) под себя.

Находим в верхней панели вкладку Entities и создаём New Entity Type, нажав на нижнюю половину кнопки: там есть Advanced. Мне нужен человек в телеграм, меня устраивают свойства сущности "Person", но нужны ещё какие-то: итак, новая сущность Telegram User будет наследовать уже имеющуюся "Person":

Назначаю имя, описание, ярлык. На следующей вкладке наконец-то могу задать основное свойство, которого мне не хватает. Выбираю опцию Create a custom main property:

Сэмпловое значение в конце нужно для того, чтоб сообщать пользователю формат записи, желательный для этой сущности. Unique property name - для внутрисистемных нужд, Property display name - будет в палитре, описание - для нас. Внимание на тип данных (Data Type). Для основного свойства их только несколько, зато для остальных кастомных выбор огромный, можно даже картинки и файлы.

Дальше можно добавить ещё свойства, но я пока не знаю, что пригодится.

В Advanced Settings есть фича, которая позволит вставлять узлы через ctrl+V прямо в граф, а не таскать их руками с палитры. Экономит время. Фича эта - регулярное выражение (regex). Можно описать мальтеге, какой текст из буфера обмена она распознает как нашу новую сущность. Чем-то похоже на дорки.

Для адреса в тг через "@", который удобно копировать с юзернеймов:

^@[a-z0-9_]{3,15}

Я проверяю регулярку через https://www.regexpal.com/ , но его синтаксис чуть отличается от мальтежьего.

Если по сохранению захотелось задать ещё своих собственных свойств: Manage Entities/находим своё/жмём "..."/Additional Properties:

А канал в ТГ адресуется так же, как и человек - следовательно, я унаследую эту сущность от своей же Telegram User. У неё будут те же свойства, но другой ярлычок на графе.

И вот кусочек графа с кастомными узлами, пока он в работе:

Видели галочку "Palette item" в Advanced Settings? Некоторые сущности не отображаются в палитре, но их можно включить туда, покопавшись в Manage Entities. Так получается с Файлом, например. Полезный элемент, но по умолчанию почему-то отключен.

P.S. Установка Мальтеги у многих вызывает затруднения. Да, она есть на винду. Да, она бесплатная - выбирайте Community Edition.