Плагины Maltego | 1 часть
Maltego — инструмент с большими возможностями в сфере кибербезопасности, установлении связей и анализе данных. В прошлой части мы не вдаваясь в специфику той или иной отрасли расследования описали, что программа из себя представляет. В данном материале мы опишем работу плагинов, которые помогают с расширенным поиском информации, её конкретизации и визуализации. Всего таких плагинов можно выделить 11.
Большинство из этих плагинов имеют портативные версии отдельно от Maltego, однако их удобнее использовать в связке с другими. Они помогут получать информацию о доменах, включая их IP-адреса, регистратора, владельца и связанные домены, извлекать информацию о компании, включая её юридическое название, контактные данные и связи с другими компаниями, информацию об электронной почте и т.д. Об этих плагинах далее:
Standard Transforms
Стандартные плагины в Maltego представляют собой инструменты, которые могут использоваться для расследования в социальных сетях, анализа угроз, анализа документов и других более чем 150 различных функций. С помощью стандартных плагинов Maltego можно получить множество полезной информации, такой как снапшоты сайта, которые были сохранены на Wayback Machine, извлечь все изображения, адреса электронной почты, номера телефонов, DNS-серверы, связанные сайты и многое другое.
В данном примере мы видим, как можно разобрать сайт time.is на составляющие: номера телефонов, почты, DNS, IP и т.д. Разберём детальнее почту, в данном случае мы получили информацию о сайтах к которым привязан домен, на которых лежит облако сайта и компанию, которая разработала сайт. Таким образом хакер, получив эту информацию, понимает в какие точки можно бить. А грамотный аналитик по кибербезопасности — как защитить сервис.
Это компонент программы Maltego, который позволяет пользователям создавать и редактировать взаимосвязи между данным вручную. Взаимосвязи могут представить различные типы данных, такие как имена, адреса, номера телефонов, домены и т.д. Это может быть полезно в случае, если требуется визуализировать сложные связи между объектами вручную.
Также может использоваться для создания отчетов и презентаций на основе данных, полученных из Maltego. С помощью CaseFile можно создавать красочные и наглядные графы, которые могут быть использованы для демонстрации результатов анализа и расследовании.
В данном случае мы ради примера связали одну почту с ныне действующим сайтом, другую почту со снимком сайта. Это было сделано для того, чтоб понимать когда какая почта использовалась ранее, а какая сейчас и визуализировать эти связи для анализа.
Dorking Transforms
Плагин помогает пользователям использовать расширенные методы поиска в Google. Помогает найти информацию, которую обычный сёрчингом было сложно найти. Dorking Transforms включает в себя операторы поиска:
site: для поиска информации на конкретном сайте или домене.
intitle: для поиска страниц, которые содержат конкретное слово в заголовке.
inurl: для поиска страниц, которые содержат конкретный текст в URL-адресе.
filetype: для поиска файлов конкретного типа, например, PDF или DOC.
link: для поиска страниц, которые содержат ссылки на конкретный URL-адрес.
related: для поиска страниц, которые связаны с конкретным доменом.
Выше пример использования оператора поиска site: и таким образом мы нашли все использования слова «cisco» в твиттере. Это может помочь с поиском упоминания конкретного человека или фразы на сайте. Другие операторы поиска, такие как filetype помогут найти нужную литературу и так далее. Для использования плагина нужен API ключ Google, его можно получить тут.
Maltego Regex Transforms
Помогает извлечь с веб-страницы электронную почту, номер телефона, BTC-адрес, ETH-адрес, IBAN и многое другое используя настраиваемые шаблоны. Maltego Regex Transforms может быть полезна для больших объёмов информации, а также автоматизации процесса анализа.
В целом, она делает тоже самое, что и Standard Transforms, однако она помогает находить совпадающие объекты. Если у вас несколько сайтов, но вы не знаете чем они связаны, то их следует прогнать через Standard Transforms, а программа сама свяжет эти сайты по общим IP, адресам почты и т.д.
Был запущен в 2015 году, с его помощью каждый день сканируется 40-100 тысяч страниц в интернете. Плагин создан для поиска электронных адресов, он сканирует веб-сайты, социальные сети и другие открытые источники, чтобы найти и собрать адреса электронной почты в базе данных. Плагин Hunter позволяет пользователям Maltego быстро и удобно получать доступ к этой базе данных, используя API Hunter по ссылке. Бесплатно можно использовать 25 запросов в месяц, если нужно больше — ценообразование начинается от 49 долларов в месяц за 500 запросов.
Плагин поможет в том случае, когда нужно по адресу почты понять, где ещё мог засветиться человек, найти его социальные сети и следы в интернете.
Цель Cofense Intelligence в объединении в глобальную сеть из 35+ миллионов человек с передовой автоматизацией и технологиями на основе искусственного интеллекта, чтобы быстро остановить фишинговые атаки. Плагин предоставляет доступ к поиску, прослеживанию взаимосвязей и наблюдению за потенциальными угрозами.
Хоть Cofense Intelligence является платным плагином, однако он позволяет пользователям быстро получать доступ к данным: вредоносные программы, фишинговые сайты, кибератаки и другие виды киберугроз, которые могут быть использованы для оценки рисков и принятия соответствующих мер для предотвращения возможных атак. Перед покупкой можно опробовать демоверсию по ссылке, условием для этого является имение корпоративной почты.
Farsight отслеживает более 200 000 разрешений DNS в секунду. Плагин даёт пользователям доступ к базе данных доменных имен (DNS) Farsight Security. С его помощью можно быстро и эффективно исследовать домены и связанные с ними IP-адреса, а также провести между ними связи. Плагин предоставляет доступ к ценной информации, которая может использоваться для обнаружения угроз в режиме реального времени и помочь пользователям принимать меры для защиты своих данных.
На данном примере мы видим, какие ещё домены существуют отталкиваясь от главного домена maltego.com. Получить API можно перейдя по ссылке, для персональных клиентов бесплатная версия ограничена 500 запросами в месяц, для корпоративных клиентов можно заказать услуги тут.
News Tranforms
Плагин предоставляет доступ к информации из разных новостных источников о событиях, происходящих в мире, и использовать эту информацию для анализа угроз и рисков. News Tranforms — это агрегатор новостей из Microsoft Bing не выходя из Maltego.
На данном примере мы увидели, что плагин News Tranforms помог по запросу «Evergeen Marine» найти новости связанные с этой тайваньской компанией.
Плагин предоставляет собой базу данных с терабайтами журналистских расследований: информация о коррупции, финансовых преступлениях и других правонарушениях. С помощью OCCRP Aleph можно искать информацию по ключевым словам, например, по имени человека, названию компании или адресу. Также плагин позволяет искать связи между объектами и визуализировать их. Доступ к базе данных OCCRP Aleph может быть особенно полезен для аналитиков, занимающихся исследованиями.
В данном случае по запросу «Pavel Durov» плагин нашёл десятки Дуровых. После получения этой информации следует отсеять лишних и найти того, кого мы ищем. Компания предоставляет полный доступ к своей базе (защищеным материалам и утечкам) для пользователей, которые OCCRP Aleph подготовила для журналистов, исследователей и активистов. Подать заявку на полную версию можно тут.
Позволяет пользователям проводить поиск устройств, подключенных к интернету, используя поисковый движок Shodan. Плагин предоставляет информацию о таких устройствах, как серверы, маршрутизаторы, камеры наблюдения, умные дома и многое другое.
Можно проводить поиск устройств по различным параметрам: IP-адресу, географическому положению, типу устройства и т.д. Также можно искать устройства, имеющие уязвимости или слабые места в защите. Полезен для технических специалистов, занимающихся сетевой безопасностью, так как она позволяет найти уязвимости в сетевой инфраструктуре и принять меры для их устранения. Для использования понадобиться API, бесплатный можно получить тут.
Бесплатный интернет-архив на котором хранятся отпечатки интернета. Каждый пользователь может сохранить веб-страницу или воспользоваться ранее проиндексированными для своих нужд.
В данном случае плагин нашёл десятки снимков сайта Maltego с 2010 года. Плагин полезен при исследовании прошлых событий. Также можно использовать Wayback Machine для поиска информации, которая была удалена или изменена на сайте, но все еще доступна в архиве. Однако, этот плагин является дефолтным в Standard Transforms, потому устанавливать отдельно не имеет особого смысла.
В данном материале мы увидели возможности Maltego в сфере расширенного поиска информации, её конкретизации и визуализации. С помощью этих 11 плагинов Maltego можно значительно упростить процесс работы с данными и таким образом программа становится ещё более эффективным инструментом для расследований и анализа данных. Больше про плагины — в следующих материалах.
Дополнительная литература, которая может вам помочь в расследованиях разделена на два топика: материалы на русском языке и на английском.
Русский:
Как использовать Shodan (от другого автора)
Как использовать Maltego (от другого автора)
Английский:
A Beginner’s Guide to OSINT Investigation with Maltego
Семинар по OCCRP Aleph для журналистов