UNIVERSIDADE ESTÁCIO DE SÁ

CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

DISCIPLINA: ANÁLISE DE VULNERABILIDADES

Prof.: Cassio Ramos

Tutorial de Uso Maltego 3.0.4

Data Mining

Alunos:

NOME MATRÍCULA
Eduardo Gonçalves de Melo 2010.100.26.12-7
Marcelo Henrique Marins e Silva 2010.100.26.14-3
Pedro Apolinario Viana 2010.100.34.19-7
Roberto da Silva Henriques Coval 2010.100.26.13-5
2 Tutorial de uso do Maltego – Data Mining

1. OBJETIVOS DESTE TRABALHO

Este trabalho tem como objetivo a elaboração de um tutorial prático, destinado aos
profissionais de TI, que auxiliará a estabelecer uma estratégia de uso de um software de Data
Mining - Maltego - na investigação de informações sobre uma pessoa qualquer. Tomou-se
como premissa que o usuário já tenha vencido as etapas de instalação e configuração do
software, que não representa nenhuma grande dificuldade.

O trabalho está baseado na versão grátis, ou Community Edition (CE), da versão 3.0.4
do Maltego. Esta é a versão mais recente até a publicação deste documento e pode ser
encontrado no link abaixo, com opções para plataformas Windows e Linux:

Fig.1 – Link da empresa Paterva – criadora do Maltego

3 Tutorial de uso do Maltego – Data Mining

2. ESTRATÉGIA

A função que o Maltego exerce é conhecida com Data Mining, o que na melhor tradução
poderia ser compreendida como “garimpo de informações”. Assim sendo, a maior parte das
atividades que o Maltego automatiza poderiam ser feitas a partir de scripts, buscas na web,
consultas em DNS, etc. O Maltego não explora diretamente nenhuma vulnerabilidade do
objeto alvo de pesquisa. A forma gráfica de exibição dos resultados das pesquisas facilita
enormemente a seleção e refinamento das respostas se comparado com a forma usual em
“modo texto”.

Este tutorial tem como objetivo mostrar o uso do Maltego para obter o máximo de
informações sobre uma pessoa qualquer. Trabalhando com a versão gratuita do software,
tem-se um número limitado de resultados obtidos nas pesquisas automatizadas, mas pode-se
claramente ver o seu potencial de uso e, mesmo com as limitações, é possível obter algumas
valiosas informações sobre o objeto ao qual estamos procurando informações.

Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar
um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no
trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software
até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica
atribuída na programação do software, mas somente quem está no comando da pesquisa
pode definir se a resposta faz ou não sentido, como no exemplo abaixo:

Fig.2 – Relevância do e-mail: Maltego x Usuário

No exemplo capturado anteriormente, quando procuramos e-mails relacionados com a

pessoa “Maria das Graças Meneguel”, o Maltego, ao calcular o grau de relevância dos e-mails
encontrados, poderia atribuir um peso menor ao e-mail xuxa@gmail.com, pois o nome “xuxa”
não parece ter vínculo semântico/textual com o objeto pesquisado. Se o usuário não tivesse a
informação de que “Xuxa” é o nome artístico da “Maria das Graças Meneguel”, a pesquisa
poderia se distanciar dos resultados esperados.

Diante disso, traçou-se para este trabalho uma linha de informações preliminares que
nos auxiliarão a obter informações complementares sobre uma pessoa qualquer. Mas antes foi
necessário “escolher” um alvo qualquer para ser o objeto de pesquisa. Este trabalho está
4 Tutorial de uso do Maltego – Data Mining

dividido em duas partes, conforme o alvo: uma que busca informações sobre um e-mail/nome
e a segunda que trata de busca por informações de um site/domínio.

Em Data Mining a organização corresponde a 80% do trabalho. Estabelecer critérios

para tomadas de decisão, usar ferramentas auxiliares, definir checkpoints para identificar onde
uma decisão errada está se distanciando do alvo (a escolha errada do e-mail no exemplo
acima), etc. Tudo isso alimenta o “motor de inferência” das respostas obtidas com o Maltego
(ou qualquer outra ferramenta de Data Mining) para traçar o Dossiê. Este motor de inferência
é o próprio pesquisador.
5 Tutorial de uso do Maltego – Data Mining

3. DATA MINING - Pesquisa de e-mail/domínio

ARBITRANDO UM E-MAIL PARA SER O ALVO:Para escolher um e-mail existente, aleatório, do

qual não se tinha nenhum vínculo ou informação, entrou-se com a seguinte string de busca no
Google: “futebol”, “bola”,“papo” “@gmail.com” e obteve-se o seguinte resultado:

Fig.3 – Escolha aleatória de um e-mail do gmail

Pelo próprio Google já foi possível notar que o assunto correlato é FUTEBOL e que
existe um domínio registrado com nome papodebola.com.br. Então é hora de atualizar o log
das informações até então obtidas:

e-mail: papodebola@gmail.com

Domínios relacionados: gmail.com, papodebola.com.br

Assuntos de Interesse: futebol

Antes de ir ao Maltego, investigou-se a existência de algum outro e-mail relacionado

que pode ser útil. O próprio GMail nos auxiliará nesta missão. Basta “simular” que somos o
usuário real e esquecemos a senha. O GMail pode dar mais algumas pistas de e-mails
alternativos para montar o log:

Fig.4a – Recuperação de senha do Gmail: mais pistas

6 Tutorial de uso do Maltego – Data Mining

Fig.4b – Novas pistas descobertas

Estas informações poderiam ser obtidas com o próprio Maltego, porém usando a
versão gratuita não temos número de respostas suficientes para obtê-las, já que as respostas
que queremos residem basicamente em domínios registrados no Brasil (.br). Os fóruns
apontam esta “superficialidade” nas respostas da versão gratuita como “non deep-dig”, ou
seja: escavação não profunda.

Apesar do Gmail “ocultar” os caracteres que formam o segundo e-mail do alvo, pode-
se facilmente inferir que:

P*********@y****.***.** corresponde a papodebola@yahoo.com.br

Sobre o telefone, não se pode afirmar muita coisa, mas é possível observar que trata-
se de um número de 11 dígitos. No Brasil a grande maioria dos números particulares possuem
apenas 8 dígitos e usa-se 3 dígitos para código de localidade. Então, pode-se inferir que o
número deve ser: (***) ****-**34. Mais uma observação útil: todos os DDS começam por “0”
(zero), logo, melhorando a informação temos: (0**) ****-**34

Já temos mais informações que nos auxiliarão nas escolhas que faremos usando o Maltego.
Resta atualizar o log:

e-mail: papodebola@gmail.com

e-mail alternativo (não confirmado): papodebola@yahoo.com.br

Telefone: (0**) ****-**34

domínios relacionados: gmail.com, papodebola.com.br

Assuntos de Interesse: futebol

E com estas informações preliminares já podemos iniciar a pesquisa com o Maltego.

7 Tutorial de uso do Maltego – Data Mining

BUSCANDO OUTROS E-MAILs RELACIONADOS: Como primeira aproximação, inseriu-se o e-

mail do GMail e buscou-se as transformações relacionadas somente com e-mail.

Fig.5 – Transformação para e-mail

Existem 4 níveis de transformação disponíveis para este Objeto (e-mail), a saber:

a) All Transforms (no topo da lista): São Pesquisas Específicas para e-mail + Pesquisas
Complementares que tratam e-mail de forma indireta (verificação de DNS, sites de
relacionamentos, etc);

b) Related E-mail Addresses: São somente as Pesquisas Específicas citadas

anteriormente;

c) Other Transforms: São somente as Pesquisas Complementares citadas anteriormente;

d) All Transforms (na base da lista): São todas as Pesquisas Disponíveis. O Maltego exibe
um alerta dizendo que os resultados podem demorar. Este tipo de pesquisa deve ser
feita com cautela, pois pode trazer muitos resultados inúteis e a tela fica muito
confusa.

Vamos usar a transformação específica para e-mail (“Related E-mail Addresses”), mas
antes, sugerimos que sejam ajustados alguns parâmetros. Para tanto, basta clicar no pequeno
ícone destacado na figura. O nome “transformações” é um nome genérico que a provedora do
software usa para designar uma pesquisa, pública ou não.

As pesquisas públicas permitem que o usuário ajuste para qual ferramenta pública deseja
usar na sua pesquisa. Em algumas opções de busca na web, o engine do Maltego usa o Yahoo,
mas podemos, e aconselhamos que isso seja feito, direcionar para o Google, por exemplo. E
isso será feito sempre que a parametrização permitir.
8 Tutorial de uso do Maltego – Data Mining

Fig.6 – Ajustando o Search Engine para o Google, ao invés do Yahoo

Explorando melhor este quadro, percebe-se que existem diversas outras informações
sobre a maneira que o Maltego faz esta busca. Percebe-se qual é a Entrada e Saída desta busca
(INPUT e OUTPUT), a descrição, o timeout (por exemplo: se o Google estiver lento para
responder, pode-se ajustar este tempo), etc.

Das informações dispostas nas colunas, a maioria é obvia, mas cabe destacar a
Location, que indica de onde partirão efetivamente as buscas. Na versão comercial existem
buscas que podem partir da sua estação de trabalho diretamente (e existem APIs para que o
usuário mesmo desenvolva). No caso das transformações do grupo de e-mail, os módulos
estão em CES TAS (site do fabricante).
9 Tutorial de uso do Maltego – Data Mining

Do resultado obtido ao rodar as transformações relativas a e-mails, temos a resposta

exibida na tela abaixo, da qual, foi destacada as que sugerem maior chance de sucesso nas
investigações que se seguirão.

Fig.7 – Escolhendo mais informações relacionadas

Para não congestionar a tela, podemos apagar os objetos que vamos desconsiderar,
mas sempre incluindo as novas informações no log. Para maior detalhe do que foi descoberto,
cabe observar com atenção a tela de properties. Clica-se (uma única vez) no objeto para
destacá-lo e em seguida ver o que traz a janela de Property View, conforme abaixo:

Fig.8 – Propriedades do Objeto

10 Tutorial de uso do Maltego – Data Mining

Percebemos mais informações relevantes para pesquisa. O investigador deve visitar as

URLs apontadas e, se achar conveniente traçar pesquisas em paralelo para investigar mais
detalhes. Era objetivo descobrir novos e-mails associados, mas além de descobri-los acabamos
por achar outro domínio relacionado (diariosassociados.com.br). É momento de atualizar o
log:

e-mail: papodebola@gmail.com

e-mail alternativo (não confirmado): papodebola@yahoo.com.br,

papodebola@terra.com.br, papodebola.mg@diariosassociados.com.br

Telefone: (0**) ****-**34

Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br

Assuntos de Interesse: futebol

11 Tutorial de uso do Maltego – Data Mining

CONFIRMANDO OS E-MAILS: Vamos rodar uma transformação que permitirá saber se

os e-mails até então descobertos são válidos. Esta informação poderá ser útil para um
futuro contato por e-mail usando Engenharia Social.

Fig.9 – Confirmando os e-mails

Pelo exibido na figura cima o log “perdeu” uma informação de e-mail (@terra.com.br)
e teve um deles sem verificação (@diariosassociados.com.br), mas o domínio continua sendo
útil, apesar de não ser possível confirmar o e-mail, não quer dizer que ele não exista ou que
nunca tenha existido.
12 Tutorial de uso do Maltego – Data Mining

DESCOBRINDO INFORMAÇÕES SOBRE PESSOAS ATRAVÉS DE DOMÍNIOS RELACIONADOS

Na sequência de passos a seguir, vamos obter informações sobre a pessoa que utiliza o
e-mail alvo de nossa pesquisa. As transformações objetivarão descobrir se existe algum mais
domínio associado à conta papodebola@gmail.com.

Vamos investigar outros domínios relacionados com a transformação abaixo.

Novamente sugerimos que seja alterado o parâmetro para apontar para o Google (destaque
em verde abaixo):

Fig.11 – Pesquisando outros domínios relacionados

Cabe destacar que foi usada a transformação “To Website” ao invés de “To Domain”.
Esta última nos levaria a obter informações do Gmail, já que este é o domínio diretamente
associado ao e-mail fornecido. Ao usar a transformação “To Website”, buscamos sites na web
que tenham relacionamentos com qualquer parte do e-mail fornecido.

Fig.12 – Destaques de possíveis sites relacionados

13 Tutorial de uso do Maltego – Data Mining

Observa-se que o tema preferido do nosso alvo é mesmo relacionado a futebol e esta
informação ganha mais peso a cada passo, dado o link com o site do Milton Neves, conhecido
comentarista esportivo. Provavelmente vamos encontrar alguma entrada no Tweeter, graças a
pista dada pelo domínio tweetmeme.com (search tool de comentários do Tweeter).

O maior destaque é o site www.papodebola.com.br. Vamos apagar os demais sites e

explorar mais este último. Aplicaremos mais transformadas para converter o site em domínio e
buscaremos informações sobre o “dono” do e-mail alvo desta pesquisa.

Fig.13 – Convertendo o site em domínio

A partir do domínio obtido, as transformadas a seguir exibem informações do

proprietário do domínio, que poderá ter algum relacionamento com nosso alvo.

Fig.14 – Transformada para obter mais dados do domínio.

14 Tutorial de uso do Maltego – Data Mining

É possível obter os servidores que servem ao domínio, conforme mostra a figura a

seguir. Porém a pesquisa sobre o proprietário do domínio não foi possível de ser feita na
versão gratuita, que usa o WhoIs público americano. No Brasil a consulta adequada deveria ser
para o WhoIs do Registro.br. Vamos fazer uma busca alternativa usando o Maltego e depois
confirmar com uma consulta direta ao Registro.br.

Usando o Maltego, aplicamos a transformação sobre o e-mail alvo para obter

informações de redes sociais (no caso o flickr):

Fig.15 – Busca em redes sociais

O resultado aponta para uma entidade “EduCesar” presente no Flickr. Uma visita ao
site indicado no menu Property View confirma a possibilidade de que o proprietário do
domínio papodebola.com.br seja também o titular do e-mail papodebola@gmail.com e possui
o nome “Eduardo Cesar”

Fig.16 – Vínculo com o site Flickr (yahoo)

15 Tutorial de uso do Maltego – Data Mining

Uma consulta complementar no Registro.br confirma o que encontramos:

Fig.17 – Consulta ao Registro.br

O e-mail do domínio @terra.com.br voltou ao log, graças ao “peso” que o pesquisador

deu às informações do site registro.br.

De posse destas informações, devemos atualizar o log:

Nome: Eduardo de Oliveira Cesar

e-mail: papodebola@gmail.com, papodebola@terra.com.br

Telefone: (0**) ****-**34

Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br

Assuntos de Interesse: futebol

CNPJ: 078.512.603/0001-60
16 Tutorial de uso do Maltego – Data Mining

Agora temos várias fontes para iniciar uma nova pesquisa. Vamos criar um novo objeto
chamado “Eduardo de Oliveira Cesar” e fazer novas transformações.

Fig. 18 – Novo Objeto do tipo PERSON

Percebe-se que uma nova caixa de diálogo se abre, questionando sobre informações
adicionais de tentativa de vínculo com algum domínio. No caso, buscamos vínculos com
papodebola.com.br e este foi o domínio preenchido. Os campos destacados NÃO ESTÃO EM
BRANCO. Foram preenchidos com o caráter ESPAÇO, conforme sugere o texto em inglês
quando não temos nada para informar.

Fig. 19 – Preenchendo informações adicionais de vínculo

17 Tutorial de uso do Maltego – Data Mining

A resposta a esta pesquisa foi enriquecedora, pois revela claramente os vínculos já

apontados. Inclusive achamos o e-mail original (papodebola@gmail.com) que iniciou esta
pesquisa.

Fig. 20 – Vínculos estabelecidos e confirmados.

Apesar de parecer ser convincente uma foto com o nome e sobrenome do alvo
procurado, o pesquisador precisa recorrer aos seus critérios antes de aceitar esta informação.
Uma visita ao FaceBook e busca pelo nome mostra um perfil que diverge fortemente dos
temas relacionados ao futebol conforme era esperado. Isto serve para ilustrar que o
pesquisador sempre deve ponderar muito antes de adotar ou não uma nova pista. Um erro
pode levar a caminhos de difícil retorno.
18 Tutorial de uso do Maltego – Data Mining

Para se preparar para um possível contato com o alvo, é melhor que seja direcionado
um e-mail para uma conta pessoal e não uma conta papodebola@gmail.com. Para confirmar
se a conta eduardodeoliveiracesar@gmail pertence mesmo ao alvo e se está ativa, basta
realizar as transformações abaixo:

Fig. 21 – Verificar se o e-mail existe

Fig.22 – Comprovação do vínculo entre o domínio e o e-mail pessoal

Na figura cima, além dos vínculos confirmados, aparecem outras informações que
sugerem uma atividade profissional do alvo: atividade policial. Fato percebido pelos domínios
sociedadepolicial.files.wordpress.com e guardamunicipalnh.ning.com.
19 Tutorial de uso do Maltego – Data Mining

Então, de posse destas novas informações pode-se buscar informações complementares no

Google, bastando entrar com os dados obtidos do log:

Nome: Eduardo de Oliveira Cesar

Profissões relacionadas: comentarista esportivo, atividade policial (à confirmar)

e-mail: papodebola@gmail.com, papodebola@terra.com.br

Telefone: (0**) ****-**34

Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br

Assuntos de Interesse: futebol

CNPJ: 078.512.603/0001-60

Uma informação parecia não estar correta: ao se consultar o link do YouTube que a
pesquisa do Google apontava, foi possível constatar que, no exemplo escolhido ao acaso para
este trabalho, ocorreu um caso de homônimo perfeito. Confrontando a foto exibida na página
da rádio gaúcha onde aparece o Eduardo de Oliveira Cesar, com forte ligação ao futebol, o link
do YouTube mostra uma outra pessoa na reportagem de prisão de foragidos no Rio Grande do
Sul, conforme imagens abaixo:

Fig. 23 – Informações do Google para os possíveis “Eduardo de Oliveira Cesar”, dono do e-mail
papodebola@gmail.com
20 Tutorial de uso do Maltego – Data Mining

Para dirimir este conflito utilizamos um simples artifício de Engenharia Social, mandando um e-
mail para o papodebola@gmail.com, com um assunto fortemente relacionado à futebol onde,
além de obter mais informações, comentamos sobre o caso de homônimo.

Para obter um link, fomos até o site do Milton Neves buscar algum vínculo que desse
credibilidade ao e-mail e achamos este comentário assinado pelo alvo.

Fig.24 – Vínculo obtido em http://terceirotempo.ig.com.br/coluna_materia.php?id=835

Montamos então o seguinte e-mail:

Fig. 25 – Texto de e-mail

21 Tutorial de uso do Maltego – Data Mining

Utilizamos um serviço de envio anônimo de e-mails (Fake E-mails). Este provedor foi
escolhido porque é um dos poucos que não acrescenta um Banner identificador da origem:

Fig. 26 – Fake Mail - http://emkei.cz/

Direcionamos as respostas e os erros de entrega para o e-mail real que foi criado no
Gmail: edsonmoreno.gazeta@gmail.com. Assim, se o alvo responder ao remetente, as
respostas seguirão para este endereço do Gmail.
22 Tutorial de uso do Maltego – Data Mining

4. DATA MINING - Pesquisa de site/domínio

Com a proximidade dos jogos olímpicos que serão realizados no Rio de Janeiro em 2016,
muitos questionam se a cidade estará preparada para esse evento. Com esse pensamento,
resolvemos verificar a vulnerabilidade do domínio do COB (Comitê Olímpico Brasileiro -
www.cob.org.br).

Com o auxilio do Maltego tentaremos identificar alguns servidores no domínio

“cob.org.br”, tais como servidores de e-mail, DNS, FTP, etc.

Fig.1 – Transformação para servidores DNS

A figura a seguir mostra o resultado de alguns servidores encontrados.

Fig.2 - Servidores publicados na WEB

Mesmo sendo uma versão gratuita, o Maltego mostrou um resultado satisfatório e

oferece algumas funções que irá nos ajudar muito em nossa pesquisa. Como por exemplo, a
resolução de endereço IP de um servidor encontrado.
23 Tutorial de uso do Maltego – Data Mining

Fig.3 – Resolvendo endereço IP

Para conferir a veracidade do Sistema, fiz uma consulta no Netcraft (http://news.netcraft.com)

Fig.4 – Resultado da busca no endereço FTP (http://ftp.cob.org.br)

Na fig.2 é possível identificar alguns tipos de servidores pelo nome. Como exemplo o
próprio servidor FTP. Pois se utilizarmos o endereço na internet ele solicitará uma conta para a
autenticação e acesso do mesmo.

Mas usaremos outro servidor de exemplo para que seja possível utilizar mais uma
opção do Maltego. A escolha da transformação To Domain [Sharing this MX] determina quais
domínios utilizam o mesmo nome DNS.
24 Tutorial de uso do Maltego – Data Mining

Fig.5 - Transformação To Domain [Sharing this MX] no objeto srv-correio.cob.org.br

O sistema mostrará mais três domínios, onde é evidente o domínio criado para as
olimpíadas de 2016 aqui no Rio de Janeiro. Os outros dois são de uma empresa responsável
pelo marketing do COB (http://olympomkt.com.br) e outro criado provavelmente para um
comitê das olimpíadas de 2004 em Atenas.

Mas concentrando esforços na busca por informações sobre os jogos de 2016: Existe
uma opção no Maltego que é capaz de nos mostrar documentos hospedados em site web
dentro do domínio.

Fig.6 – Encontrando arquivos e documentos hospedados no domínio.

25 Tutorial de uso do Maltego – Data Mining

Fig.7 – Arquivos e documento encontrados hospedados no domínio.

A maior parte dos arquivos encontrados tem como título o nome de um cargo. Para
visualizar o arquivo hospedado é necessário copiar o endereço da URL que se encontra na
propriedade do objeto. Basta dar um dublo clique em cima do objeto ou selecioná-lo e em
seguida clicar na guia Property View no canto superior direito da janela do sistema.

Fig.8 – Acessando as propriedades do objeto

26 Tutorial de uso do Maltego – Data Mining

Depois de copiar o endereço da URL, acessamos o mesmo e foi possível verificar que se
tratava de um documento descrevendo uma possível vaga de emprego no Comitê Olímpico
Rio 2016

(http://www.rio2016.org.br/sites/default/files/analista_de_infraestrutura_de_ti_junio
r.pdf).

Utilizando a mesma técnica no domínio rio2016.org.br que utilizamos no domínio

anterior (conforme mostrado na Fig. 1) iremos obter o seguinte resultado.

Fig.9 - Servidores publicados na WEB do domínio rio2016.org.br

Agora, é possível verificar que no resultado surgiu um servidor de acesso ao correio

eletrônico pela WEB. Quando acessamos o endereço webmail.rio2016.org.br verificamos que
o servidor de e-mail que eles utilizam provavelmente é um Microsoft Exchange 2007.
27 Tutorial de uso do Maltego – Data Mining

Fig.10 – Página de acesso ao correio eletrônico na WEB do domínio rio2016.org.br

Na maioria das vezes, os administradores de correio Exchange acabam configurando a

conta de e-mail com o mesmo nome que a conta de rede (domínio) para cada conta. Ou seja,
se a conta de acesso a rede corporativa é carlos.nuzman, então o endereço de e-mail ficaria
carlos.nuzman@rio2016.org.br.

Agora que já temos o endereço para acessar o webmail da empresa, falta apenas
encontrar uma conta para este domínio. Com a conta em mão é possível criar uma lista de
senhas (Word List) para em seguida tentar um ataque de força bruta (Brute Force) ou mesmo
engenharia social, conforme mostrado na primeira parte deste trabalho.