Плагины Maltego | 3 часть
В прошлых частях мы рассмотрели плагины, которые помогают с расширенным поиском информации, её конкретизации и визуализации. А также плагины, которые находят информацию в открытых источниках о конкретном человеке. В этом материале мы рассмотрим плагины Maltego, которые предоставляют удобные и эффективные инструменты для работы с отслеживанием и проверкой IP-адресов, доменных имен и SSL сертификатов.
Хоть многие из этих плагинов имеют портативные версии, их намного удобнее использовать в связке с другими в Maltego. Всего плагинов, о которых будет идти речь, можно выделить 10.
Плагин AbuselIPDB позволяет пользователям осуществлять поиск и анализ IP-адресов прямо в Maltego. С его помощью можно получить информацию о конкретном IP-адресе, такую как история злоупотреблений, отчеты о недобросовестной деятельности и другие связанные данные. Это может быть полезно для идентификации потенциально вредоносных или нежелательных сетевых активностей. Используется при аналитике угроз, сертификации, кибер-аналитике. Для того, чтоб использовать AbuselIPDB, требуется ключ API, который можно получить на официальном сайте (гиперссылка). Бесплатный API ключ предоставляет возможность делать 1000 проверок.
В примере выше мы рассмотрели работу плагина, увидев, к какой стране принадлежит IP адрес, какой сайт на нём находится, какой используется дата центр, веб хостинг и т.д.
Это плагин для Maltego, который интегрирует функциональность с сервисом Censys. Censys является платформой для поиска и анализа сетевых данных, таких как информация об открытых портах, сертификатах SSL/TLS, доменах, сервисах и многом другом. Censys сотрудничает с частным и государственным секторами, предоставляя наиболее точные данные для интернет-аналитики, чтобы компании могли выявлять риски и устранять угрозы в масштабе. Он также позволяет проводить сравнительный анализ и исследование связей между IP-адресам, доменным именам, сертификатам SSL/TLS и другим сетевым атрибутам. Помогает при исследовании информационной безопасности.
В обычной версии Maltego можно использовать 25 раз на месяц. Купив лицензию Maltego Pro или Maltego Enterprise можно будет использовать 100 и 500 раз соответственно.
Как сама компания говорит о себе: «это идеальный инструмент для аналитики кибербезопасности». Плагин GreyNoise Community для Maltego интегрирует функциональность с платформой GreyNoise. Это сервис по кибербезопасности, который помогает организациям идентифицировать IP адреса и узнавать всю информацию о них за последние 90 дней.
Плагин GreyNoise Community обеспечивает доступ к общедоступной базе данных GreyNoise, которая содержит информацию об IP-адресах и их связях с известными вредоносными активностями. Пользователи могут использовать эту информацию для более эффективного исследования и анализа сетевых атак и угроз.
Плагин является бесплатным и даёт 1500 запусков на месяц. Купив лицензию Maltego Pro или Maltego Enterprise можно будет использовать 3000 и 15000 раз соответственно.
Плагин Host.io для Maltego интегрирует функциональность с платформой Host.io. Host.io является сервисом, который предоставляет информацию о доменных именах, их истории, регистраторах, DNS-записях и других связанных с ними данных.
Плагин Host.io предоставляет разнообразные возможности, такие как поиск информации по доменным именам, отслеживание изменений в истории регистрации, анализ DNS-записей и другие. Это позволяет исследователям и информационным специалистам получать более полное представление о доменах и их связях.
Использование плагина Host.io в Maltego расширяет возможности инструмента, обогащая его функциональность в области исследования доменных имен. Это помогает исследователям и информационным специалистам получать более глубокое понимание связей и атрибутов доменов, улучшая процесс анализа и принятия решений в области кибербезопасности и разведки.
Для использования нужен API ключ. Он является бесплатным и его можно получить по ссылке.
В данном случае мы видим, какие ссылке находятся на сайте и на какие сервисы можно перейти, тем самым расширив расследование.
DomainTools Enterprise и DomainTools Iris Investigate
Эти плагины от одной компании DomainTools позволяют пользователям получать доступ к данным и функциональности, предоставляемым DomainTools, прямо в рамках среды Maltego. С его помощью можно проводить исследования доменных имен, получать информацию о WHOIS-данных, DNS-записях, IP-адресах, SSL-сертификатах и других атрибутах доменов.
Предоставляется широкий набор возможностей, включая анализ истории регистрации доменов, связанных доменов и инфраструктуры, поиск подозрительных активностей и потенциальных угроз. Они также позволяют проводить анализ связей между доменами и идентифицировать связанные активы. Это помогает выявлять потенциальные угрозы, аномалии и необычное поведение, а также принимать информированные решения в области кибербезопасности и разведки. Однако оба плагина доступны только с комерческой версией Maltego.
В данном случае мы выбрали домен https://www.maltego.com/ и разбили его на составляющие: регистрацию, доменные данные, номер телефона, LLC и так далее.
Это плагин для Maltego, который интегрирует функциональность с системой управления информационной безопасностью IBM QRadar. Является мощной платформой для мониторинга и анализа безопасности, предоставляющей возможности по обнаружению и реагированию на угрозы в реальном времени. Интеграция IBM QRadar Enterprise с Maltego позволяет извлекать и отображать IP-адреса, хэши, операционные системы, уязвимости и другие IOC. В IBM QRadar встроен искусственный интеллект для значительного повышения производительности.
IBM QRadar SIEM является высокоэффективной системой аналитики безопасности. Его преимущества включают поддержку более 200 продуктов от ведущих производителей и способность собирать, анализировать и коррелировать данные из различных систем, включая сетевые решения, средства безопасности, серверы, хосты, операционные системы и приложения. Однако, следует отметить, что плагин доступен только в платной версии Maltego Enterprise.
Компания основана в 2013 году бывшим инженером Facebook Беном Доулингом. Предоставляет богатый набор данных об IP-адресах, включая информацию о геолокации, сетевых провайдерах, организациях и других атрибутах. Плагин IPinfo в Maltego позволяет пользователям получать доступ к данным, предоставляемым IPinfo, прямо в рамках среды Maltego. С его помощью можно исследовать и анализировать IP-адреса, определять их географическое расположение, обнаружить использование VPN, связанные домены и другие сведения.
Это помогает исследователям и информационным специалистам получать более полное представление о сетевых активах и их связях. Предоставляется бесплатно по API (гиперссылка).
В данном примере плагин показал связь между одним url-адресом и другими, нашёл номер телефона и место нахождения сервера.
Компания основана в 2002 году и сейчас более 5000 компаний используют MaxMind. Плагин предоставляет информацию о геолокации и атрибутах IP-адресов. Предлагает базу данных, содержащую сведения о географическом расположении, сетевых провайдерах, анонимизации и других связанных атрибутах IP-адресов. Плагин позволяет пользователям получать доступ к данным, предоставляемым сервисом MaxMind, прямо в рамках среды Maltego.
Плагин доступен только в комерческой версии Maltego.
Этот элемент включает преобразования, связанные с сертификатами SSL/TLS, включая получение сертификатов в реальном времени и преобразования для понимания, насколько прозрачен SSL сертификат.
Позволяет напрямую запрашивать доменное или DNS имя для SSL сертификатов, которые могут быть расширены на другие сайты, а также другие метаданные. С его помощью можно извлекать данные, такие как общее имя домена (Common Name), владелец сертификата, дата истечения срока действия и другие атрибуты.
В заключение можно сказать, что плагины Maltego предоставляют удобные и эффективные инструменты для работы с отслеживанием и проверкой IP-адресов, доменных имен и SSL сертификатов. В нашей статье мы рассмотрели 10 ключевых плагинов, которые помогут вам расширить возможности и повысить эффективность вашей работы с данными. Они предоставляют широкий спектр функций, которые помогут вам более детально и точно анализировать информацию, а также повысить безопасность и надежность вашей работы. Использование этих плагинов в Maltego станет ценным вкладом в ваш процесс исследования и обеспечит более глубокое понимание и анализ данных.
Литература:
На страже безопасности: IBM QRadar SIEM
https://github.com/topics/greynoise
Как пользоваться хакерским поисковиком Censys
Интеллектуальные средства анализа безопасности для четкого понимания самых серьезных угроз
Ошибка при обращении к сервису IpGeoBase / MaxMind