Зміст:
Як працює Maltego?
Як виглядає програма, принципи роботи Як Ви вже зрозуміли, Maltego шукає у відкритих джерелах інформацію, все знайдене поєднує у схеми та вибудовує логічні взаємозв'язки. У роботі для цього використовується три елементи: Entities (об'єкт), Transforms (процес) та Links (зв'язки).
Що таке трансформація Maltego?
Maltego – це програмне забезпечення, призначене для проведення візуальних розслідувань, пов'язаних з ІТ, роботи з кіберрозвідкою та форензики. Одна з базових функцій Maltego – це трансформація (Transform) чи збагачення, тобто підбір безлічі пов'язаних даних на підставі вступного значення.
Що таке трансформація простими словами?
1. Зміна виду, форми чогось, перетворення, перетворення (Книжковий.).
Денис Курець
Як користуватись Maltego в Kali Linux? Завантажити інструмент IT детектива
Мануал по Maltego. Збір інформації
Етичний Хакер
Maltego – це потужна утиліта, яка вміє робити багато потрібного та корисного, а саме збирати та показувати у зручному вигляді, купу різноманітної інформації, зокрема збирати інформацію про різні об'єкти в мережі, такі як сайти, акаунти, IP адреси, домени тощо. д., знаходити зв'язки між усім знайденим і уявляти, все це у зручному графічному вигляді.
Встановлення та налаштування Maltego
Завантажити Maltego можна з офіційного сайту https://www.paterva.com/, а таких дистрибутивах як Kali Linux або Parrot вона вже встановлена. Для того, щоб використовувати Maltego, треба на цьому ж сайті створити собі обліковий запис.
Після запуску з'явиться вікно вибору версій і тут потрібно вибрати версію Free (ну чи іншу, якщо ти, раптом, дочка/син олігарха).Ну а версія CaseFile – це офлайн версія для візуалізації зв'язків, без можливості запуску трансформацій, вона нас сьогодні не цікавитиме, та й розібратися з нею не складно.
Після натискання кнопки “Run” потрібно буде увійти в обліковий запис (той самий, що ми створили на сайті https://www.paterva.com/), потім весь час тиснемо кнопку далі до появи стартового екрану.
І ось тут ми зіткнемося з першим мінусом безкоштовної версії, а саме – Maltego встановлені тільки базові набори трансформацій (модулі), а решту потрібно доставити в ручну, при цьому отримуючи API на відповідних сайтах.
CaseFile Entities – цей модуль включає всі сутності з версії CaseFile, нам може бути корисно завдяки можливості працювати з метаданими.
Blockchain.info – відстежує та візуалізує зв'язки та транзакції між гаманцями у блокчейн мережі bitcoin та у мережі Ethereum.
CipherTrace – модуль для відстеження транзакцій у криптовалюті, та побудови ланцюжків зв'язків між різними криптогаманцями, може бути корисним для спроб деанонімізації власника гаманця. Для використання безкоштовної версії, потрібно зареєструвати обліковий запис тут: https://ciphertrace.com/maltego-trial/
Have I been Pwned? – перевіряє чи був зламаний цільовий сайт, електронна пошта чи обліковий запис, шукає в злитих базах скомпрометований пароль.
Hybrid-Analysis – дозволяє взаємодіяти з ресурсом Hybrid-Analysis, це щось типу Virus Total, для використання необхідно отримати API-ключі, для цього потрібно зареєструвати обліковий запис https://www.hybrid-analysis.com/signup
PassiveTotal – додає додаткові трансформації для вивчення доменів, даних організацій, електронної пошти з використанням RiskIQ, для підключення потрібен API, щоб його отримати реєструємось на сайті https://www.passivetotal.org та в налаштуваннях отримуємо API, безкоштовна версія обмежена 25 запитами на день , не густо, але краще ніж нічого.
PeopleMon – дозволяє шукати дані користувачів з баз InGrav PeopleMon, також працює через API, для отримання ключа, потрібно зареєструватися на https://maltego.peoplemon.com/, і ключ буде відправлено на електронну пошту. Для безкоштовного тарифу є ліміт на 100 запитів.
Shodan – дозволяє використовувати можливості пошуковика Shodan, також потрібен API, для його отримання реєструємось на https://www.shodan.io/ і в правому верхньому куті тиснемо "Show API Key"
Social Links CE – дозволяє шукати дані людей та компаній, використовуючи бази ZoomEye, Shodan, SecurityTrails, Censys, Rosette, Skype, Documentcloud, Social Links, а також додає можливості пошуку реєстраційних даних компаній з відкритих баз Євросоюзу та офшорних зон.
ThreatMiner – додає трансформації, що використовують можливості https://www.threatminer.org/, дозволяє аналізувати та збирати інформацію про домени, IP, DNS, e-mail, а також виявляти шкідливе ПЗ.
ZETAlytics Massive Passive – дозволяє знаходити історію зміни IP адрес, шукати зв'язки між IP та доменами, електронними поштами та доменами, NS та доменами, а також шукати реєстраційні дані, у тому числі враховуючи історію змін. Для використання потрібно API, щоб його отримати реєструємось за посиланням: https://zetalytics.com/maltego/
Інструкція з Maltego
Після встановлення всіх потрібних модулів можемо переходити безпосередньо до використання Maltego. Для цього в лівому верхньому куті натискаємо кнопку “New” і можна просто натиснути Ctrl+T.
У нас відкриється новий робочий простір, в якому ми і далі працюватимемо.
У верхній частині екрану знаходиться панель управління, де можна змінювати налаштування, змінювати метод відображення інформації, зберігати/завантажувати проекти, управляти трансформаціями і зовнішнім виглядом, взагалі підлаштовувати роботу Maltego під свої завдання та бажання.
Зліва знаходиться палітра об'єктів, звідти ми будемо брати різні об'єкти, яким присвоюватимемо певні значення, тобто ту інформацію, яку ми знаємо, саме до цих об'єктів ми будемо застосовувати трансформації для отримання потрібної нам інформації.
У самому центрі знаходиться вікно графіків, саме це і є основна робоча область, тут ми проводитимемо основну масу маніпуляцій і тут відображатиметься результат проведеної трансформації та малюватиметься зв'язки між різними об'єктами.
Під ним знаходиться консоль виведення, тут відображатиметься лог виконання кожної операції та інформація про помилки, якщо такі виникатимуть.
Праворуч розташовано три вікна:
Overvirw – це мініатюра вікна графіків, дозволять бачити загальну картину, а якщо графік досить великий, то швидко по ньому переміщатися, там є вкладка Machines – в ній відображається хід виконання трансформацій.
Detail View – відображається докладна інформація про поточний (виділений) об'єкт.
Property View – це атрибути поточного (виділеного) об'єкта, тут їх можна редагувати.
OSINT з Maltego
Із зовнішнім виглядом програми ми познайомилися, тепер можна переходити до її використання та розбиратися, що вона може.
Maltego має величезну кількість функцій, розбирати їх у рамках однієї статті немає жодного сенсу, та й розмірів тоді ця стаття буде не реальних, правильніше пояснити принцип роботи на найбільш актуальних прикладах.
Одним із найпоширеніших варіантів використання Maltego є дослідження та отримання інформації про сайти. Цим ми й займемося, тому що так буде найпростіше зрозуміти, як працювати в цій програмі.
А тренуватися ми будемо на прикладі якогось гівно-сайту, який рекламує себе через спам розсилки.
Отже, нам потрібно створити стартову точку, від якої ми починатимемо збір інформації. У нашому випадку ми знаємо домен, значить із нього і почнемо. У панелі "Палітра" вибираємо "Domain" і перетягуємо у вікно графіків, після чого треба натиснути на нього і у вікні "Property View" у графі Domain Name ввести потрібний нам домен.
Тепер можемо переходити безпосередньо до застосування трансформацій. Тут варто пам'ятати важливий момент, залежно від того яка інформація нам потрібна, ми можемо або застосовувати трансформації по одній (або групами по розділах), це підходить якщо потрібна якась конкретна інформація і ми знаємо що шукаємо, або Maltego дозволяє застосувати набори трансформацій, вони називаються Machines, це більш підходить для аналізу загальної картини та вибору напряму для подальшого дослідження. Які Machines доступні можна переглянути у відповідній вкладці на панелі керування, натиснувши кнопку “Manage Machines”.
Щоб застосувати будь-яку трансформацію, або запустити Machines, натискаємо правою кнопкою миші на нашу мету на графіку і бачимо меню трансформацій.
Самі трансформації розподілені за розділами, якщо ти встановлював модулі, то буде як на скрині, якщо ні, буде розділи тільки зі списку “PATERVA CTAS CE”.
Ну і якщо у нас є домен, то логічно для початку дізнатися чий це домен. Переходимо в пункт меню "PATERVA CTAS CE" і бачимо підменю "Domen owner detail" тут ми теж можемо зайти в це підменю і застосувати окремо кожну трансформацію, або натиснути на кнопку старту і застосувати весь розділ, що ми і зробимо.
В результаті ми бачимо реєстраційні дані домену, як бачиш тут і телефон, і адреси пошти, і геопозиція. Як бачиш однією дією, ми вже суттєво розширили наші знання про об'єкт. Тепер за бажання ми можемо попрацювати з отриманою інформацією. Наприклад, перевірити чи є знайдені телефонні номери на будь-яких інших сайтах, чи реєструвалися на них інші домени, просто прогнати їх через пошукову систему або спробувати знайти пов'язані з ними адреси електронної пошти. Для цього тиснемо правою кнопкою на номер і застосовуємо весь розділ “PATERVA CTAS CE” (можна застосувати модулі Social Links CE та PeopleMon щоб пошукати його у телефонних базах та соцмережах). Так само ми можемо провести пошук за адресою електронної пошти, причому ми одразу можемо перевірити його за базами скомпрометованих адрес (раптом пощастить), пошукати його згадки на інших сайтах, або якщо він вказувався при їх реєстрації, а також перевірити по соціальних мережах, а знайшовши обліковий запис у будь-якій соцмережі продовжити вже пошук по цьому обліковому записі.
Втім, як бачиш, тут коло пошуку можна розширювати майже до нескінченності, а тому повернемося до домену.
Наступна група трансформацій, яка може бути нам цікава, це пошук по DNS, а тому застосуємо весь розділ “DNS from Domain”
Отже ми бачимо: сайт який використовує домен, DNS записи як домену так і піддоменів, ns-записи та mx-записи. До речі, ми тепер, наприклад, знаємо ftp-сервер сайту, що корисно, якщо наша мета не тільки збір інформації. Але давай для прикладу застосуємо трансформації до самого сайту.
Тут ми побачили які посилання на інші сайти є на ресурсі, що вивчається, отримали ще одну адресу електронної пошти, дізналися IP адресу сайту, а також дізналися які технології застосовувалися на сайті, так наприклад у розглянутому нами випадку, видно що сайт створений на WordPress, а також видно які плагіни встановлені, якби ми злобними хакерами це була б вкрай цінна для нас інформація, ну і якби ми хакерами ми ще запустили б трансформації на IP і дізналися які ще сайти розташовані на цьому IP, а також на якому хостингу він знаходиться. Що теж дуже корисна інформація, адже якщо зламати цільовий сайт не вийде, можна спробувати зламати якийсь інший сайт на хостингу, ну або, на крайняк, сам хостинг і отримати доступ до потрібного сайту.
Але ми не злі хакери, а тому йдемо далі. Якщо повернутися до домену, ми можемо просканувати його на наявність e-mail адрес як на самому сайті, так і в записах whois, а також, використовуючи пошукові машини, перевірити наявність на сайті файлів або документів. Також ми можемо застосувати трансформації до name server сайту та подивитися інші сайти, які теж використовують це ns.
Тепер давай подивимося, що буде якщо застосувати трансформацію до URL сайту. Для цього в панелі "Палітра" знаходимо символ URL, тягнемо його на графік, вписуємо потрібний нам URL і застосовуємо до нього всі трансформації.
Як бачиш ми отримали більшу частину інформації, яка у нас була, але крім цього Maltego знайшла назву організації, чий сайт, а найголовніше підвантажив картинки з нього, і ти напевно знаєш, що у картинок може бути така цікава штука як метадані, і Maltego з радістю їх для нас вивантажить. Збираємо картинки на купу, виділяємо все відразу, тиснемо правою кнопкою і вибираємо "To Exif Info". У вибраному мною прикладі на картинках ніяких метаданих не було, але це не означає, що їх не буде на тому сайті, який ти будеш вивчати, тому в будь-якому випадку варто перевірити.
Після того як ми отримали всю цікаву для нас інформацію, її можна зберегти перейшовши у вкладку Import/Export в панелі управління та імпортувати графік у зручний для себе вигляд, або як малюнок, або в таблицю або pdf, тут вже кому як зручніше, як варіант можна зберегти графік у форматі зрозумілому Maltego, щоб повернутися до нього пізніше.