Maltego - это ПО, занимающееся сбором данных (OSINT), у которого открытый исходный код. Возможности программы обширные – она может искать и собирать открытую информацию из социальных сетей, электронных почт и по номерам телефонов.
Полученные данные могут использовать как компании, так и обычные люди. Maltego часто используется в криминалистике и при раскрытии преступлений. Она позволяет определять местоположение и личные данные подозреваемого преступника. Также программу любят применять журналисты для своих репортажей и расследований. Если объединить все вышеописанное, то Maltego ищет информацию по заданным фильтрам в интернете по открытым и не совсем открытым источникам.
Анализ происходит с помощью запроса поисковых систем, различных API, whois, записей DNS, получением метаданных. Всю полученную информацию можно представить на графическом макете, выбор которых достаточно велик. Исходя из этого можно удобно структурировать данные для визуального отображения закономерностей. ПО отлично работает на всех ОС (Mac, Windows, Linux).
Что умеет программа Maltego: функциональные возможности
Поиск и извлечение данных
Одной из главных функций является поиск информации в 58 источниках Maltego Transform Hub с возможностью вывода на график. Вы можете просматривать до одного миллиона объектов. Также дополнительной функцией можно добавить публичный поиск в открытых источниках (OSINT), по вашим собственным данным и коммерческим.
Объединение
Можно все полученные данные структурировать и отобразить в едином графике, а плюс в том, что все это происходит в автоматическом режиме. Графический дизайн лаконичен, понятен и прост, что упрощает и делает конечный результат наглядным. Все данные после объединения приводятся к логическому действию «Point-and-click».
Визуальное отображение
Программа оснащена набором макетов (блочный, органический, круговой, иерархический), что позволяет определять шаблоны. Во время постройки графика на основе больших объемов данных можно выявлять закономерности. В последствии можно сделать его краткую характеристику и экспортировать для дальнейшей эксплуатации. Программа выгодно отличается тем, что предлагает пользователям более 60 различных интеграций от более 30 партнеров.
Установка и настройка приложения Мальтего
Для того чтобы скачать и пользоваться программой нужно зарегистрировать аккаунт на официальном сайте. После загрузки на устройство появится окно с выбором нужной версии. После выбора версии можно приступать к работе.
Как пользоваться программой Maltego
Мы ознакомились поверхностно с программой, теперь будем разбираться с её реальными возможностями.
А возможностей у неё реально много, если разбирать их все, то получится целая серия статей на эту тему, поэтому будем рассматривать основной принцип на конкретных примерах. Одним из таких будет классический анализ любого простенького сайта и получение с него нужных нам данных.
Что же, давайте начинать, первое, что нам нужно сделать это определить первоначальное положение, с которого мы начнём наш поиск информации. У нас это будет знание домена это и будет нашим стартом. В графе “Палитра” выбираем “Domain” и перетягиваем его в окно графиков, после этого нажимаем на него, и в окне “Property view” в графе «Domain name» вводим наш домен.
Трансформации
После того как мы определили нашу стартовую точку мы можем переходить к использованию трансформации, но есть один момент, который стоит упомянуть. Мы можем применять трансформации по одной, либо группами по разделам. Это зависит от того, что именно нам нужно. Второй вариант подходит, если мы знаем какую именно информацию хотим получить. Но в случае, если нам нужен общий анализ, то Maltego дает возможность применить группы трансформации (Machines). Все доступные группы можно увидеть на панели управления во вкладке “Manage machines”.
Для того чтобы запустить нашу первую трансформацию мы нажимаем правой кнопкой мыши на цель на графике и у нас выходит меню трансформации. Все трансформации поделены по группам.
Если ты устанавливал модули, то будет как на скрине, если нет, то будет разделы только из списка «PATERVA CTAS CE».
.webp)
Ну и первое что мы будем делать, зная домен, это логично, что мы узнаем кому он принадлежит. Для этого нам нужно перейти в пункт меню «PATERVA CTAS CE», далее мы увидим подменю “Domen owner detail”. Здесь у нас есть выбор - мы можем нажать на кнопку старт и применить сразу весь раздел, либо зайти в ещё одно подменю и использовать отдельно каждую трансформацию. Мы воспользуемся первым вариантом.
После этой трансформации мы видим данные нашего домена: тут есть и телефон, и геопозиция, и электронный адрес. После всего лишь одной итерации мы заметно увеличили наши данные об объекте. После этого мы можем дальше работать с полученной информацией. К примеру, узнать есть ли полученные номера телефонов на других сайтах или проверить регистрацию на эти номера других доменов, просто прогнав их через Google или поискать связанные почтовые ящики с этими номерами.
Чтобы это сделать нам нужно нажать правой кнопкой мыши на номер и применить весь раздел «PATERVA CTAS CE». Точно таким же способом мы можем сделать поиск по адресу электронной почты и тем самым мы сразу же проверяем его по базам скомпрометированных адресов. Сделать поиск по социальным сетям, и, если найдется аккаунт в одной из них, уже расширим круг поиска. Также поищем упоминание на других сайтах
PATERVA CTAS CE
Как можно заметить, искать при возможности можно очень долго, при этом расширяя круг поиска до максимума, но вернёмся к нашей исходной точке. В домене у нас на очереди другая группа трансформации, которая нам поможет в поиске, поиск по DNS. А для этого мы сразу применим весь раздел «DNS from Domain».
«DNS from Domain»
Что же нам удалось найти - мы видим сайт, который использует домен, DNS записи домена и его поддоменов, ftp-сервер сайта, ns-записи и mx-записи, что очень хорошо, если цель не только поиск информации.
Это всё конечно интересно, но теперь применением трансформации именно к сайту. Тут мы получили ещё одну электронную почту, узнали IP сайта, узнали какие ссылки есть на другие сайты, а также узнали какие применялись технологии. Мы видим, что сайт разработан на площадке WordPress и все плагины, которые есть на нём. Если бы нашей целью был взлом сайта, то это была бы очень полезная информация для нас. Впоследствии мы могли бы запустить трансформацию на IP и узнали бы какие ещё сайты привязаны к этому IP. Дальше мы бы узнали на каком хостинге он лежит, и взломав его, мы имели бы доступ к нужному сайту.
Но наша цель благородная поэтому эта информация была для ознакомления. Возвращаясь к домену, то далее мы можем проверить, есть ли на нем различные адреса электронных почт и всевозможные загруженные документы и файлы. Следом мы можем применить трансформации к name server сайта. И посмотреть другие сайты, которые тоже используют это ns.
Следующим нашим шагом будет применение трансформации к URL сайта. Для этого на нам нужно в панели «Палитра» найти значок URL. Перетягиваем его на график, вписываем нужный нам URL и применяем к нему все трансформации.
После всех этих действий мы получили действительно большой объем информации, исходя всего лишь из наличия домена. С помощью Maltego мы узнали название компании и кому она принадлежит. Но самая главная вещь заключается в том, что программа сгрузила картинки с этого сайта, а у них есть такая важная вещь как метаданные. Группируем их вместе, выделяем сразу все, жмем правой кнопкой мыши и выбираем во всплывшем окошке «To Exif Info». Конечно, в моем примере на картинках никаких метаданных не было. Но это только мой пример, что вовсе не означает, что их не будет на том сайте, который будешь анализировать ты. Поэтому их всегда нужно проверять.
Сохранение результатов
После поиска информации нам нужно сохранить все наши данные для этого нам нужно перейти в панели управления во вкладку Import/Export и сохранить наш график в удобном для себя виде.
Аналоги Maltego
Аналогов данного ПО немного, рассмотрим два основных. Первый - DarkOwl Vision, занимается поиском информации в darknet.
Программа дает возможность мониторить и анализировать угрозы в пространстве Dark web, чтобы улучшить эффективность поиска скомпрометированных конфиденциальных данных.Программа все время безостановочно и анонимно собирает, индексирует и ранжируют важную информацию разведки даркнета. Интерфейс программы очень удобен в работе, лаконичен и прост. Также поисковик содержит логические выражения и фильтры.
Программа имеет ряд плюсов одним из них является интеграция Search IP данных даркнета в вашу собственную платформу и возможность запрашивать все данные даркнета даже из архива за более чем восемь лет. Программа поддерживает 47 языков, можно сканировать полные текстовые документы включая исходный URL/ URI.
Ещё одним безусловным плюсом является то, что с помощью Entity API можно запросить конкретные адреса электронных почт, IP-адреса и даже кредитные карты. Благодаря этому можно выгрузить все письма, принадлежавшие определённому домену. Также клиенты имеют возможность пользоваться параметрами поиска, чтобы посмотреть были ли опубликованы на форумах даркнета IP-адреса.
Ещё одной хорошей функции является решение API – вымогатели. С помощью этого решения можно сделать упрощенный анализ действий программ вымогателей. Здесь есть автоматический фильтр результатов, чтобы выбрать блоги RaaS и веб сайты. Ещё есть такая офигенная штука Ransomware API, с помощью неё можно определить были ли на определённую организацию или компанию попытки взлома, вымогательства или компрометации, причём отслеживать можно сайты, которые размещены в telegram или TOR.
Второй аналог - Cobwebs – набор взаимосвязанных инструментов.
Разработчик Cobwebs technologies имеет в своем арсенале пять программ OSINT, у которой разные функции и возможности. Все они применяются все в той же криминалистике и расследованиях. Хоть они и разделены, но при этом взаимосвязаны друг с другом, но в то же время можно их использовать и раздельно.
Один из продуктов платформы финансовых расследований помогает расширить возможности бизнеса, внедряя искусственный интеллект в сфере противодействия отмыванию денег, мошенничеству и киберугроз. Исходя из этого, снижаются скрытые риски для клиентов финансовых организаций. Также автоматизация исследовательских процессов экономит ресурсы финансовых специалистов.
Программа интернет-исследований дает возможность сканировать всю онлайн активность, заниматься сбором и анализом информации из всевозможных открытых источников. А все потому, что поисковая система базируется на искусственном интеллекте. Активно применяя это решение, можно быстро производить поиск по даркнету и находить новые угрозы.
Защищенный помощник аналитика. Это решение применяет браузер Lynx. А нужен он для того, чтобы обеспечить защищенный просмотр для сбора и анализа данных вручную, но плюсом является то, что несмотря на это, вы имеете полный доступ ко всем данным из даркнета и открытых источников.
Заключительное решение служит для сканирования угроз. Действует по тому же принципу. Обученный искусственный интеллект сам занимается поиском и анализом всей информации в открытых источниках и выявляет наиболее опасные угрозы.
Применение программ производителя поистине разнообразно. В настоящее время наращивает свою актуальность так называемая киберразведка. Во всех международных конфликтах это может сыграть определяющую роль. К примеру, Украина может применить технологию OSINT для борьбы с Россией. Весь банковский сектор подвержен непрерывному напору киберпреступников и банки никто другой кто нуждается в методах борьбы с мошенниками. Также многие корпорации часто становятся объектами шантажа преступников. Превентивная аналитика компании Cobwebs обеспечивает надежную защиту от мошенничества в интернете.
Предлагаю на этом закончить статью и не растягивать её ещё больше. Получился и так достаточно большой объем информации. Я думаю, что Вы уловили главный принцип применения трансформации. А если нет, повторю, суть в том, что, получая новый объект, можно дальше проводить всевозможные итерации для поиска информации. И так до бесконечности, пока не найдёте то, что нужно. Сначала может показаться это очень сложным, но, как и во всем, стоит немного потренироваться и уже через определённое время можно получать любую информацию практически на автомате.