Все связано. Полное руководство по OSINT с использованием Maltego

Что такое OSINT?

Open source intelligence, — способ сбора информации, включающий в себя поиск информации из общедоступных источников, а также её анализ

Что такое Maltego и почему его используют для OSINT?

Maltego - это инструмент для интеллектуального анализа данных, который добывает различные источники данных с открытым исходным кодом и использует эти данные для создания графиков для анализа соединений. Графики позволяют легко устанавливать связь между такой информацией, как имя, организационная структура электронной почты, домены, документы и т. Д. Maltego использует Java, поэтому он может работать в Windows, Mac и Linux и доступен во многих дистрибутивах OSINT Linux, таких как Buscador или Kali. , По сути, он будет анализировать большой объем информации и выполнять поиск по различным веб-сайтам с открытым исходным кодом, а затем выводить симпатичный график, который поможет вам собрать все воедино. Maltego можно использовать в качестве ресурса в любой момент расследования, однако, если ваша цель - домен, имеет смысл начать сопоставление сети с Maltego с самого начала.

Отказ от ответственности Maltego: Компания поясняет, что их программное обеспечение не может использоваться для незаконных действий. Цитата: «Вы не ограничены в возможности использования ПО, но использовать его для незаконных действий (включая сбор адресов электронной почты для отправки спама) запрещено. То же самое касается данных или графиков, которые вы генерируете, используя их ». Они также добавляют:« Вы не можете обвинить нас в любом случае, если что-то пойдет не так с этим программным обеспечением. Если вы используете это программное обеспечение и у вас возникают какие-либо проблемы, то это ваша проблема ».

Какую версию скачивать?

Есть несколько типов Maltego:

• Maltego XL - Премиум-версия для больших данных

• Maltego Classic - Платная версия, включающая в себя все API

• Maltego CE - бесплатная версия с ограниченными API (трансформируется)

• Casefile - версия для изучения ссылок автономных данных

Основное различие между Maltego Classic, Maltego XL и Maltego CE состоит в количестве объектов, которые могут быть возвращены из одного преобразования, и в максимальном количестве объектов, которые могут быть в одном графике.

Для наших целей я буду использовать Maltego CE, бесплатную версию с ограниченными трансформациями. Maltego поставляется предварительно установленным в дистрибутиве Buscador Linux, который обычно является фаворитом исследователей с открытым исходным кодом.

Установка Maltego

Для Buscador: Вам нужно будет зайти на сайт Paterva и создать аккаунт. Как только ваша учетная запись будет создана, вы получите ключ, который превратит ваш Casefile в CE.

Для Kali: Maltego поставляется уже установленным. Вам нужно будет зайти на сайт Paterva и создать аккаунт. После создания учетной записи вы получите ключ, который позволит вам использовать Community Edition.

Установка с нуля: если вы делаете новую установку на Win, Mac или Linux, то здесь пошаговое руководство, предоставленное компанией Paterva.

API связывает другое программное обеспечение, такое как Shodan и Threatminer, с Maltego.

Maltego называет эти подключения «Transforms», и если вы его используете, то обнаружите, что некоторые функции бесплатны, а другие платные.

Недостатком использования бесплатной версии Maltego является то, что не все преобразования поставляются предварительно установленными, поэтому для их использования необходимо зарегистрироваться на каждом веб-сайте, чтобы получить код API для активации соответствующего преобразования.

В зависимости от ваших потребностей, вы можете сосредоточиться на конкретных преобразованиях, сделанных для OSINT, угроз Intel, сопоставления организаций и тому подобное.

Как выполнить простую проверку сети

Начиная с доменного имени, мы можем начать планировать структуру организации, включая другие сайты владельца. Удивительно, сколько информации можно найти, используя только доменное имя.

Нажмите кнопку нового графика в верхнем левом углу, и откроется пустое новое графическое окно.

Находясь в палитре объектов слева, прокрутите, пока не найдете домен, а затем перетащите его на пустую графическую панель.

Дважды щелкните значок домена и измените имя на домен, который вы хотите исследовать, я выбрал hbo.com.

Щелкните правой кнопкой мыши значок домена, откроется окно «Выполнить преобразования». Здесь вы можете очень точно определить, что вы хотите найти, прокручивая палитру и выбирая, но мы просто выберем Run All Transforms, выбрав маленькие стрелки ускоренной перемотки рядом с ним.

Как только Run Transform выбрана, Maltego начинает свою работу с построения структуры сети. Примечание. С левой стороны графической панели есть несколько вариантов просмотра графика в разных макетах.

На изображении ниже вы видите, что всплывают все виды информации, включая DNS-серверы, связанные сайты, связанные электронные письма, почтовые серверы.

Вы можете использовать эти соединения для создания еще более подробных соединений, таких как имена, связанные с электронными письмами и номерами телефонов.

Давайте внимательнее посмотрим на одного из людей, которые подключились к hbo.com

Томас Петерсон.

Щелкните правой кнопкой мыши на значок Томаса и запустите «Все преобразования».

Когда преобразования завершатся, у нас будет добавлен график всех связанных почтовых ящиков Томаса.

Иногда это может привести к некоторым странным результатам. Я наткнулся на множество забавных / скрытых ящиков при выполнении подобных поисков.

Ищем все связи электронной почты с помощью Maltego

Мне было любопытно узнать адрес Рика Граймса, поэтому я решил присмотреться к нему.

Создайте новый график так же, как мы делали в прошлый раз. На этот раз выберите адрес электронной почты в палитре объектов и перетащите его на пустой график.

Дважды щелкните на значок адреса электронной почты и измените текст на адрес электронной почты, который вы хотите найти. В этом случае я использовал «realrickgrimes@tormail.org»

Щелкните правой кнопкой на почту и запустите все преобразования, как делали ранее.

После выполнения преобразований появится график, отображающий все соединения с адресом. Здесь вы можете увидеть, что realrickgrimes@tormail.org подключается к человеку «Рик Граймс», который затем подключается к нескольким другим электронным письмам. Я был заинтригован связью Рика с carl.grimes1995@gmail.com, поэтому я решил выполнить еще одно преобразование в этом письме.

Carl.grimes1995@gmail.com привел меня к еще нескольким интересным людям, таким как Карл Граймс и Стив Брюл. Я чувствую, как будто меня затягивает черная дыра в ссылках «Ходячие мертвецы», поэтому я запускаю трансформацию на Стиве Брюле.

Стив Брюль ведет меня на steve@checkitout.com и steve@brule.com, а также на сайт checkitout.com.

Я пытался зайти на сайт, но он не был активным, поэтому я сделал быстрый поиск по WhoIs. Поиск WhoIs показал, что домен зарегистрирован в CSC Global, которая управляет компанией, предоставляющей услуги цифрового бренда и управляющей доменом.

Предыдущим регистрантом была Hearst Corporation

На этом этапе, вместо того, чтобы продолжать идти по кроличьей норе Стива Брюля, я готов предположить, что организация Hearst и теперь CSC удерживает домен, чтобы либо защитить его от неправильного использования, либо перепродать в какой-то момент.

Как видите, в Maltego есть миллион забавных вещей, которые вы можете сделать с помощью простого поиска домена и электронной почты! Протестируйте Maltego самостоятельно, поищите свой адрес электронной почты или веб-адрес и посмотрите, какие соединения вы можете установить. Сделайте еще один шаг вперед и попробуйте найти свой номер телефона, чтобы увидеть, как он может быть связан с вами.