Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • M2 UD2.1 - Tutorial Maltego

    Enviado por

    Patrícia Costa
    9 visualizações10 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    9 visualizações10 páginas

    M2 UD2.1 - Tutorial Maltego

    Enviado por

    Patrícia Costa

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 10

    Microcredencial em Cibersegurança Ofensiva - M2 UD2.

    1 -
    Tutorial Maltego

    1. Introdução e Instalação

    O Maltego é uma grande ferramenta para OSINT. Pode ser aplicado no âmbito de pentests, mas
    também noutros cenários tal como investigações criminais pelas forças de segurança, serviços
    de informações, ou mesmo nas operações de segurança (e.g., investigações forenses) das
    organizações.

    O Maltego tem a particularidade de ser capaz de mostrar de forma gráfica, como é que a
    informação sobre o alvo está correlacionada. Está disponível tanto na versão gratuita como na
    versão paga. A ferramenta já não vem pré-instalada na última versão do Kali Linux, mas é muito fácil
    instalar.
    Para instalar abrir o terminal no Kali e fazer:

    sudo apt install maltego

    Notará que mesmo que utilizemos a versão gratuita, a ferramenta é capaz de obter um manancial de
    informações sobre o seu alvo. Existe também o Maltego para Windows sendo necessário instalar
    também o Java.

    O Maltego permite obter informação sobre um website, uma empresa, um número de telefone, uma
    pessoa, etc. O importante é que a forma de usar o Maltego é semelhante independentemente do alvo
    que pretendemos. O ideal, é usar o Maltego como ferramenta exploratória a par de outras
    ferramentas, compilando os dados de interesse.

    Após instalar o Maltego , a ferramenta passa a estar disponível. A primeira coisa a fazer é executar a
    ferramenta (ver Figuras 1 e 2).
    Figura 1 - Iniciar a ferramenta Maltego
    Figura 2 - Selecionar a versão gratuita - Community Edition

    É necessária uma conta de utilizador para usar o Maltego (ver Figura 3), por isso, na primeira vez é
    preciso fazer um registo com um email, e receberá na caixa de correio o pedido de confirmação de
    ativação.

    Nota - para esta e outras situações em que temos que dar um email para uso pontual (e.g., fazer
    download de relatórios, instalar ferramentas, entre outras), devem ter uma conta de email
    especifica, e que não usem para fins pessoais. Não é obrigatório, mas é uma boa prática
    criarem uma conta para esse efeito, caso não a tenham já. No caso concreto das pesquisas de
    OSINT e especialmente no uso de ferramentas para reconhecimento ativo, é recomendado
    mesmo a utilização de contas falsas descartáveis conforme veremos mais à frente no curso,
    claro que, isso é necessário apenas em casos concretos e sempre dentro da legalidade e
    legitimidade para o efeito.
    Figura 3 - Processo de login e ativação

    Após fazer o login, avançar nos vários passos selecionando todas as opções por defeito, e no último
    passo selecionar a opção: “open a blank graph and let me play”.

    2. Utilizar o Maltego

    2.1. Transforms

    Antes de demonstrar um exemplo de uso, importa referir que o Maltego reúne uma série de
    ferramentas para OSINT, denominadas transforms (i.e., plugins específicos para obter determinadas
    informações), que lhe permitem obter resultados mais ricos, ligando-se a vários websites como
    Shodan, VirusTotal, entre outros. Um transform pode ser definido como um pequena peça de
    código que reúne dados de forma automática a partir de diferentes fontes e retorna os
    resultados como entidades e as ligações entre elas, de forma visual, na ferramenta Maltego .

    Cada transform vai buscar informação à Internet consoante o objetivo específico da ferramenta que o
    implementa. É conveniente perceber como funciona cada transform utilizado, para melhor se perceber
    os resultados obtidos, mas também porque, apesar de não existir qualquer implicação legal, a forma
    de atuação de alguns transforms pode ser duvidosa.

    É também possível instalar mais transforms, apesar de não o fazermos neste tutorial, pois não vamos
    precisar de transforms extra no exemplo que se segue. Contudo, poderá ser conveniente experimentar
    outros transforms para além dos pré-instalados. Alguns são pagos ou exigem configurações
    avançadas que não vão ser exploradas aqui. Na Figura 4 pode observar o hub de transforms
    disponíveis.
    Figura 4 - Hub de transforms disponíveis para instalar ou já instalados

    2.2. Ambiente da Ferramenta Maltego

    Na Figura 5, pode verificar qual o significado de cada uma das áreas da ferramenta, no âmbiente de
    investigação (separador Investigate).

    Figura 5 - Ambiente da ferramenta Maltego

    2.3. Exemplo de Utilização

    Para começar, temos de definir um ponto de partida. Qual o nosso alvo? Consideramos que queremos
    obter informações sobre uma organização. Vamos começar pelo seu nome de domínio, disponível
    facilmente através do Google (e.g., pesquisando a organizaçãoX obteremos o website
    organizaçãoX.com).
    Nota - podíamos escolher o nome de uma pessoa, um email, um URL, etc. O processo é
    iterativo, ou seja, podemos começar com um nome de domínio e continuar a explorar os
    resultados subsequentes (como faremos no exemplo que se segue), ou então, podemos iniciar
    novas pesquisas (novos grafos) com elementos obtidos anteriormente (e.g., explorar um
    endereço de email obtido através da pesquisa feita no domínio inicial).

    Vamos selecionar na palete de entidades: (1) Infrastructure; (2) Domain; e fazemos drag and drop (i.e.,
    arrastamos) para o centro do espaço disponível para o grafo. Por defeito, o nome de domínio é
    Paterva.com (a "dona" do Maltego ) e vamos manter. Contudo, podíamos alterar para o nosso alvo
    nas propriedades da entidade assinalada com (3) na Figura 6.

    Figura 6 - Iniciar a investigação de um domínio

    Agora, se clicar com o botão direito em cima do símbolo do domínio (ver Figura 7), no centro do grafo,
    terá várias opções para aplicar transforms. Podendo decidir extrair apenas emails relacionados,
    detalhes do dono do domínio, etc. Vamos optar por selecionar todos os transforms. Alguns transforms
    precisam de inputs, pode deixar as opções por defeito e continuar.
    Figura 7 - Aplicar transforms no domínio

    Podemos ver que obtivemos um conjunto de entidades (e.g., servidores de DNS, emails, sites,
    endereços IP, números de telefones), ao aplicar “All transforms”. Podemos selecionar qualquer
    entidade obtida, apagar (se não interessar), ou utilizá-la (se interessante) para continuar a explorar
    (eventualmente num novo grafo).

    Figura 8 - Resultado da execução de "All transforms" no domínio paterva.com

    Agora vamos optar por selecionar o Website, devendo ser interessante analisar, por exemplo, se
    existem emails no mesmo. Se não quisermos descartar que possam haver outras coisas interessantes,
    fazíamos a mesma coisa que anteriormente (i.e., botão direito e “All Transforms”). Repare também que
    a janela de overview do grafo já começa a dar jeito.

    Figura 9 - Pesquisar transforms relacionados com emails e executar o único encontrado

    O único email encontrado foi howard.johnson@mail.com (ver Figura 10).

    Figura 10 - A única entidade email encontrada no Website www.paterva.com

    Agora, podemos usar o email encontrado e executar transforms sobre ele. Verificamos muitas coisas
    interessantes, por exemplo, contactos com quem comunicou, contatos telefónicos, etc. O Maltego é
    um excelente ponto de partida, mas estas informações necessitam de um olhar crítico e de validação
    com outros métodos alternativos.

    Neste pequeno exemplo, já temos noção de qual o domínio de emails usado na organização, alguns
    números de telefone, o administrador do site, e se quisermos continuar a exploração do grafo, o leque
    de possibilidades é muito grande. Adicionalmente, quando se faz uso de transforms adicionais
    (principalmente os pagos ou na versão comercial do Maltego ), é possível obter ainda mais
    informação sobre o seu alvo.

    2.4. Scripts do Maltego pré-configurados


    No Maltego , temos a opção de utilizar um script de transforms para um determinado propósito. Esses
    scripts, têm a designação de Machine, são uma espécie de guião que executa um conjunto de
    transforms pré-definidos e com parametrizações dos mesmos já pré-configurada. Usando uma
    Machine [1] permite-nos iniciar rapidamente a recolha de informações. Na Figura 11 podemos verificar
    as Machines disponíveis, ao passar o rato em cima verificamos a descrição das mesmas.
    Figura 11 - Menu para execução de Machines com determinado objetivo e grau de intensidade

    3. Notas Finais

    O Maltego é uma ferramenta bastante completa e que requer algum tempo e esforço para tirar o
    máximo partido. Contudo, independentemente da qualidade dos resultados obtidos, estes devem ser
    sempre verificados, o Maltego é assim apenas mais uma ferramenta no leque de ferramentas
    disponíveis do pentester.

    A necessidade de verificar e validar os resultados, prende-se com o facto de que na recolha passiva,
    muitas vezes estamos a obter informação que pode estar desatualizada ou incompleta, e tipicamente
    no reconhecimento ativo é que se confirma os dados que julgamos ser mais relevantes. Por exemplo,
    imagine que no Maltego aparece uma ligação do domínio que está a analisar, a um subdomínio.
    Contudo esse subdomínio pode já não estar ativo, mas aparece nos resultados porque existe uma
    referência (e.g., indexação num motor de busca). Ou seja, neste caso devemos procurar verificar de
    que subdomínio se trata e se está ativo. Outro exemplo, pode ser o fato de aparecer uma referência a
    uma conta de email que foi comprometida; essa informação aparece porque foi obtida numa base de
    dados de contas comprometidas. Isto significa que em tempos a conta esteve comprometida, mas
    pode já não estar, ou seja, o dono da conta pode ter mudado de password entretanto (mas a
    informação pode ser útil na mesma porque normalmente as pessoas reutilizam partes das passwords).

    Importa referir, que quando utilizamos a opção "All transforms", existem muitos dados obtidos que
    aparentemente são irrelevantes. Só conseguimos reduzir esses dados com a prática no uso da
    ferramenta, mas muitas vezes, mesmo com experiência este é um processo manual e de paciência.
    Outra forma de otimizar o uso da ferramenta é utilizando, por exemplo, apenas os transforms mais
    eficazes/direcionados para o que pretendemos obter.

    Para referência futura, existem vários tutoriais na internet (a começar pelo manual do Maltego [2]) que

    descrevem diversos casos de uso e tutoriais [3][4].

    Agora é hora de experimentarem com a vossa organização, ou outra entidade!


    1. https://docs.maltego.com/support/solutions/articles/15000047415-introduction-to-maltego-machines
    ↩︎

    2. https://docs.maltego.com/support/solutions/articles/15000008703-client-requirements ↩︎
    3. https://princecyberhavenz.wordpress.com/2020/04/24/maltego-passive-information-gathering/ ↩︎
    4. https://youtu.be/ceQhIBKFp2A ↩︎

    Você também pode gostar