Плагины Maltego | вводная часть
Maltego — мощный инструмент, который используется для сбора и анализа информации об объектах и связях между ними в целях разведки и кибербезопасности. Maltego имеет возможность интегрироваться с различными открытыми источниками данных, такими как социальные сети, веб-сайты, базы данных и т.д.
Также Maltego позволяет пользователям визуализировать связи между объектами и структурировать их, что помогает лучше понимать комплексность взаимодействий между объектами и находить потенциальные уязвимости в системе. Maltego может использоваться для анализа потенциальных угроз и мониторинга активности в интернете, что помогает обеспечить безопасность компьютерных систем и предотвращать кибератаки.
В данном материале мы рассмотрим некоторые бесплатные библиотеки Maltego CE (Community Edition), которые называются Maltego Transforms (далее — плагины), всего их более 80. Для того чтобы получить к ним доступ, изначально следует пройти регистрацию на сайте Maltego (гиперссылка) и скачать приложение (гиперссылка). Если вы не желаете покупать подписку на продукт за 999 евро в год, то можете вводить липовые данные, кроме почты, так как на неё придёт письмо с подтверждением регистрации.
Запустив приложение мы увидим в правой части экрана Maltego Transfotm Hub, а нём и находятся различные плагины, о них далее:
Плагины для отслеживания информации на сайте и её систематизации.
Стандартные плагины можно использовать для расследования в социальных сетях, аналитики угроз, анализе документов и ещё более 150 различных функций. С помощью стандартных плагинов Maltego мы можем узнать снапшоты сайта сделанные на Wayback Machine, вычленить все картины присутствующие на сайте, адреса почты, номера телефонов, DNS сервера, связанные сайты и многое другое.
Например, если нам нужно найти профили в интернете по определённому никнейму, то для этого необходимо зайти в меню «entity palette», что находится справа и в разделе «personal» выбрать нужный параметр «person». Запустив плагин по запросу «stevefranjou» мы получили следующие результаты:
Далее следует пройтись по каждому ответу новым запросом, таким образом можно найти человека на отмеченных постах в Instagram, связанные с ним сайт, номера телефонов и другие аккаунты в социальных сетях. Анализ сайта даёт следующие результаты: почту человека, снимки сайта в разные периоды времени, на чём построен сайт и так далее. Поиск можно начинать имея на руках разные данные: номер телефона, адрес сайта, фотографии, никнейм.
С помощью данного инструмента можно выявлять связи и взаимоотношения между большим количеством различных типов информации. Например, пользователь может создавать разные переменные в Maltego, а после связать их, тем самым лучше понимая какие лица были вовлечены в определенные события или что к чему причастно.
CaseFile может быть использован для сбора информации, анализа и разведки практически всех типов расследований, начиная с IT-безопасности, правоохранительных органов и любой работы, управляемой данными. Это позволит вам сэкономить время и работать более точно. В конечном итоге, CaseFile просто структурирует связи данных.
Плагины для нахождения потенциальных угроз и вредоносного ПО на сайте
Анализирует наличие вредоносных программ по IP-адресу, URL-адресу, файлам, а также оценивает уровень угрозы. Пользователи могут загрузить файлы на платформу PolySwarm и получить результаты сканирования. PolySwarm по своему функционалу схож на Virus Total и Hybrid-Analysis, однако для его использования не нужно получать API ключи.
В данном случае на сайте Rozetka угроз и вредоносных файлов обнаружено не было.
Этот инструмент предоставляет бесплатный анализ подозрительных файлов и URL-ссылок, с целью обнаружения вирусов, червей, троянов и других вредоносных программ. Для того, чтоб использовать VirusTotal в Maltego нужно получить бесплатный ключ API (гиперссылка).
То же, что и 2 предыдущие программы. Это независимая служба, основанная на Falcon Sandbox. Все данные, извлеченные из механизма Hybrid Analysis, обрабатываются автоматически и интегрируются в отчеты об анализе вредоносного ПО. Пользователи могут осуществлять поиск по тысячам существующих отчетов о вредоносном ПО или загружать образцы. Ключ API является бесплатным.
Плагины для проверки IP-адресов
Надстройка помогает пользователю узнать был ли связан IP-адрес с вредоносной активностью и способствует получению дополнительной информации об айпишнике. Используется при аналитике угроз, сертификации, кибер-аналитике. Для использования требуется ключ API, который можно получить на официальном сайте (гиперссылка). Бесплатный API ключ предоставляет возможность делать 1000 проверок.
Плагин схож на предыдущий, может точно определить местонахождение пользователей, обнаружить использование VPN, ищет геолокацию IP-адреса, размещённые домены. Предоставляется бесплатно по API (гиперссылка).
Плагины для распознавания: объектов/активности на сайте
urlscan.io
Это сервис, предназначенный для сканирования и анализа веб-сайтов. При отправке URL-адреса на urlscan.io, происходит автоматический процесс перехода к указанному адресу, и сервис записывает всю активность, которую создаёт навигация по странице.
Image Analyzer
Позволяет распознавать лица, а также идентифицировать объекты на изображениях, находить источник изображения и похожие картинки. Предоставляет возможности OCR (оптического распознавания символов), позволяя извлекать текст из изображений.
Другие плагины
Утилита, которая поможет проверить, не взломаны ли данные электронной почты и не находятся ли они в слитых базах данных. В данном случае на примере почты ivanov@gmail.com можно увидеть, утечки каких сервисов привели к тому, что пароли к ним стали общедоступными. Теперь остаётся только найти в интернете базу утечки, а после использовать пароль.
Этот плагин проверяет, является ли номер телефона поддельным или одноразовым, выполняя запрос к базе данных LoginsoftOSINT. Также плагин получает другие метаданные, такие как приложения, зарегистрированные на этот номер телефона, время последней известной активности и многое другое.
Переводчик, который работает на свёрточной нейронной сети и предоставляет перевод на 28 языков не выходя из приложения Maltego. Также DeepL может просто определить язык, на котором отправлено сообщения, что поможет в идентификации пользователя.
Использование Maltego может быть полезным для различных организаций, в том числе правоохранительных органов, кибербезопасности, компаний, аналитических агентств. Подводя итог, таким образом используя дефолтную библиотеку Maltego, как фундамент и остальные плагины, коих большое количество, как надстройку, можно находить данные, структурировать их, анализировать и делать на их основе последующие выводы.
Это была вводная часть статей по Maltego, так как программа обладает обширным функционалом. В следующей части мы более детально разберём некоторые плагины.
Наш спонсор инновационное приложение по поиску недвижимости, у которого нет аналогов – https://t.me/neurostatecom