Maltego para todos edición detectivia PDF

Preview

Summary

Maltego Tutorial...

Description

Guía Maltego Edición especial Detectivia

MALTEGO para todos

Edición especial

ANTONI COBOS 1

Guía Maltego Edición especial Detectivia

Prólogo Estamos en una época en la que hay tanta información que encontrar aquello que buscamos es todo un reto, ergo se necesitan herramientas, métodos y profesionales que nos ayuden con esa labor. Con esta guía queremos facilitarle el aprendizaje de una de las herramientas más conocidas en el análisis y obtención de la información y, además, queremos hacerlo de la mano de Detectivia, una empresa referente en este campo con un gran potencial. Esperamos que, durante la lectura, pueda aprender tanto como lo he hecho yo al escribir y que al finalizar sea usted capaz de utilizar Maltego como un profesional.

ANTONI COBOS 2

Guía Maltego Edición especial Detectivia

Contenido Maltego ...................................................................................................... 4 ¿Qué es Maltego? .................................................................................. 4 Maltego Classic................................................................................... 4 Maltego XL ......................................................................................... 5 Maltego CE ......................................................................................... 5 Instalación de Maltego CE ...................................................................... 7 Primeros pasos con Maltego CE ............................................................. 8 Módulos ........................................................................................... 10 Nuestro primer grafo ........................................................................ 15 Nuestra primera transformada ......................................................... 17 Guardar resultados ........................................................................... 19 Características avanzadas ..................................................................... 20 Grafo compartido ............................................................................. 20 Gestionar vista ................................................................................. 21 Creando nuestros propios tipos........................................................ 22 Ejecutando pseudoscripts................................................................. 29

ANTONI COBOS 3

Guía Maltego Edición especial Detectivia

Maltego ¿Qué es Maltego? Maltego es una suite de seguridad desarrollada por Paterva enfocada a la explotación de técnicas OSINT de forma activa, que nos permite analizar personas, dominios, cuentas de Twitter, metadatos, etc. Todo ello representado mediante grafos para facilitarnos la tarea de generar inteligencia. Actualmente contamos con 3 versiones de clientes: • Maltego Classic • Maltego XL • Maltego CE Y también con 3 versiones de servidor: • CTAS • ITDS • COMMS Server Esta guía se centrará en la versión de cliente, concretamente en Maltego CE.

Maltego Classic Es la versión profesional de Maltego, orientada a empresas que puede ser utilizado de forma comercial. Presenta ventajas frente a la versión de la comunidad en la mayor cantidad de formatos en los que poder exportar los grafos, así mismo permite crear grafos mayores que la versión gratuita de Maltego debido a que no limita la cantidad de búsquedas.

ANTONI COBOS 4

Guía Maltego Edición especial Detectivia

Maltego XL Tiene todo el potencial y las funcionalidades de Maltego Classic, pero está preparado para trabajar con grafos extremadamente grandes.

Maltego CE Es la versión gratuita de Maltego, viene integrada con Kali Linux y está limitada frente a la versión Classic. La característica más importante frente a su versión de pago es que Maltego CE no permite la exportación de grafos ni la utilización en entornos comerciales.

ANTONI COBOS 5

Guía Maltego Edición especial Detectivia

A continuación, podemos ver una comparativa de las tres versiones.

ANTONI COBOS 6

Guía Maltego Edición especial Detectivia

Instalación de Maltego CE Si estamos utilizando Kali, este paso no será necesario porque ya viene instalado por defecto. Para cualquier otro sistema operativo que no incluya Maltego CE por defecto, debemos ir a la página de Paterva y, en la sección de descarga, debemos elegir el sistema operativo para el que queremos instalarlo, en mi caso seleccionaré Windows y la versión de .exe + Java(x64).

El proceso de instalación es sencillo, tan solo hay que darle a siguiente y elegir la ruta de instalación.

ANTONI COBOS 7

Guía Maltego Edición especial Detectivia

Primeros pasos con Maltego CE Lo primero y más importante al arrancar Maltego CE por primera vez es elegir la versión que queremos utilizar.

En nuestro caso elegimos la versión gratuita pulsando el botón rojo. Acto seguido, nos pide iniciar sesión.

Pulsamos en “Register here” para crear nuestra cuenta. ANTONI COBOS 8

Guía Maltego Edición especial Detectivia Una vez tengamos la cuenta activada, solo tenemos que introducir los datos en la aplicación. La pantalla inicial de Maltego CE es la siguiente:

En el recuadro verde de la imagen encontramos el menú de acciones de Maltego CE, en el que podemos navegar para realizar las tareas durante cualquier fase de la recopilación de información. El recuadro rojo nos avisa de las actualizaciones pendientes. Por último, el recuadro azul es uno de los lugares más importantes de la herramienta, aquí podemos activar o desactivar los módulos que utilizaremos para mejorar nuestros resultados. Los módulos pueden instalarse seleccionándolos y eligiendo la opción de instalar.

ANTONI COBOS 9

Guía Maltego Edición especial Detectivia

Módulos A continuación, analizaremos los módulos (transformaciones) disponibles en la versión de Maltego CE.

PATERVA CTAS CE

Esta transformación es la que todos los clientes de Maltego deben tener, pues da acceso al servidor oficial de Maltego para realizar las operaciones básicas. Se debe tener instalado.

CASEFILES ENTITIES

Esta transformada importa características del cliente CaseFile de Maltego. Para un uso básico no es necesario instalarlo y para esta guía permanecerá desinstalado.

KASPERSKY LAB

Nos Ayuda uniendo nuestros datos recopilados en Maltego con la base de datos de Kaspersky para detectar posible malware. Para esta guía lo tendremos instalado.

ANTONI COBOS 10

Guía Maltego Edición especial Detectivia SHODAN

Permite realizar búsquedas en SHODAN desde Maltego. Indispensable en nuestra guía. Se recomienda su instalación.

HYBRID-ANALYSIS

Nos permite realizar análisis de malware desde MALTEGO. Sin duda otro de los indispensables para esta guía. Se recomienda tenerlo instalado.

VIRUS TOTAL

Conecta la API de VirusTotal con Maltego, permitiendo realizar análisis de nuestros grafos. Se recomienda su instalación.

ANTONI COBOS 11

Guía Maltego Edición especial Detectivia NEWSLINK

Un gran buscador en bases de datos de noticias, con él podremos ver si nuestro objetivo ha aparecido en algún periódico o noticia. Se recomienda instalarlo.

THREATMINER

Nos ayuda a analizar datos mediante la API de ThreatMiner.org Se recomienda su instalación.

PASSIVETOTAL

Nos proporciona una vía para analizar nuestros datos con PassiveTotal, pero hasta un total de 25 elementos al día. Se recomienda la instalación.

ANTONI COBOS 12

Guía Maltego Edición especial Detectivia BITCOIN

Un módulo que permite ver transacciones de bitcoins, en esta guía no vamos a centrarnos en ello porque se necesita un wallet de bitcoins. Si se quiere obtener más información al respecto, se puede visitar su web oficial: http://maltego.blogspot.com.es/2016/04/visualization-bitcoin-blockchainin.html

THE MOVIE DATABASE

Proporciona una manera de buscar nombre de películas, actores y entornos del ámbito del cine. Nosotros no vamos a centrarnos en analizar famosos así que no lo instalaremos en esta guía.

HAVEIBEENPWNED

Sin duda otro de los grandes indispensables, nos dice si el email a analizar pertenece a una base de datos que ha sido sustraída de un sitio web. Se debe tener instalado.

ANTONI COBOS 13

Guía Maltego Edición especial Detectivia PEOPLE MON

Un buscador de personas. Es muy útil para indagar en nuestros objetivos. Se recomienda instalarlo.

Al final, tendremos los módulos tal como aparecen en la siguiente imagen.

Para todos aquellos módulos que se necesite una API, es deber del usuario registrarse en la web del creador del módulo y obtener su clave, en esta guía vamos a suponer que el usuario ya dispone de dichas claves.

ANTONI COBOS 14

Guía Maltego Edición especial Detectivia

Nuestro primer grafo Debemos seleccionar el menú de Maltego y seleccionar New.

A continuación, vemos la vista organizada en tres bloques principales y dos secundarios.

ANTONI COBOS 15

Guía Maltego Edición especial Detectivia Bloque Rojo: Son todos los nodos que podemos añadir. Dependerá de los módulos instalados. Bloque Verde: Es el menú principal de la aplicación. Bloque Azul: La vista principal, aquí se visualizará nuestro grafo y podremos interactuar con él. Vamos a proceder a añadir nuestro primer elemento al grafo, lo haremos de tipo email. En el bloque Rojo debemos buscar el elemento llamado Email y arrastrarlo al bloque Azul.

Posteriormente hacemos doble click en el texto del nodo para poner el email que queramos, en este ejemplo utilizaremos [email protected]

ANTONI COBOS 16

Guía Maltego Edición especial Detectivia

Nuestra primera transformada Para realizar operaciones, hacemos click con el botón derecho del ratón sobre el nodo en el que queramos hacer las transformadas y elegimos cual aplicar.

En esta guía utilizaremos la opción de todas las transformadas. Las transformadas nos ha devuelvo lo siguiente.

ANTONI COBOS 17

Guía Maltego Edición especial Detectivia

El resultado nos ha devuelto un nodo de tipo @haveibeenpwned sin resultados, por lo que no está en su base de datos. También nos ha devuelto un nodo de tipo web con el servidor al que apunta el correo electrónico.

ANTONI COBOS 18

Guía Maltego Edición especial Detectivia En esta imagen vemos como el email analizado nos devuelve las webs en las que han hackeado emails entre los que figuraba el nuestro. En este menú podemos aplicar acciones al grafo, como reordenarlo, verlo en pantalla completa, recargarlo y muchas otras acciones. A los nodos resultantes de un análisis podemos hacerle nuevos análisis creando así grafos gigantescos, no obstante, en la versión CE de Maltego, esos grafos serán significativamente menores. A continuación, veremos el resultado de aplicar varias transformadas más a los resultados.

Como vemos, el grafo resultante es de un tamaño considerable.

Guardar resultados Para almacenar los resultados debemos elegir la opción de guardar,

Elegir un nombre y un directorio.

ANTONI COBOS 19

Guía Maltego Edición especial Detectivia

Características avanzadas Grafo compartido Maltego CE, aunque limitado, nos aporta funcionalidades avanzadas como la posibilidad de compartir grafo y trabajar en conjunto sobre un caso de forma remota mediante sesiones. Para ello debemos elegir en el menú de Maltego la opción Collaboration.

Y podemos compartir el grafo actual o unirnos a uno ya existente. En ambos casos nos saldrá la misma ventana pidiéndonos un nombre de la sesión, una clave y un nombre para mostrar. Si vamos a crear la sesión nosotros debemos rellenar dichos datos como gustemos, pero si vamos a unirnos a la sesión de otra persona, debemos poner ahí los datos que nos proporcione.

ANTONI COBOS 20

Guía Maltego Edición especial Detectivia

Gestionar vista Una de las características más potentes de Maltego es poder gestionar las vistas, que permite administrar los elementos globales de la interfaz de Maltego, así como la creación y modificación de transformaciones y otros objetos personalizados.

ANTONI COBOS 21

Guía Maltego Edición especial Detectivia Al seleccionar en Manage View se nos abrirá una ventana como la siguiente.

Ahí podemos gestionar varias características con las vistas del grafo.

Creando nuestros propios tipos Maltego ofrece a los usuarios la capacidad de crear sus propios tipos de una manera fácil y rápida.

ANTONI COBOS 22

Guía Maltego Edición especial Detectivia

Si seleccionamos la opción New Entity Type podremos ver un asistente que nos guiará paso a paso.

Display name: Será el nombre que se mostrará en el panel de objetos. Short description: Debemos poner una pequeña descripción sobre nuestro objeto. Unique type name: Será un identificador único para el objeto, ningún otro objeto debe tener uno igual. Base Entity: Aquí indicaremos si hereda características de otro objeto. Icons: elegiremos los iconos a mostrar. En nuestro caso quedará así. ANTONI COBOS 23

Guía Maltego Edición especial Detectivia

En la siguiente ventana tendremos que rellenar los datos de forma similar a la anterior.

Finalmente tendremos que elegir una categoría para el nuevo objeto. ANTONI COBOS 24

Guía Maltego Edición especial Detectivia

Como podemos ver en la siguiente imagen, el objeto se ha creado correctamente.

ANTONI COBOS 25

Guía Maltego Edición especial Detectivia

Para que este objeto tenga algún significado, es necesario crear/importar y ejecutar alguna transformación. Cuando se crea una transformación es necesario tener un Script en Python, Perl u otro lenguaje que ejecute la lógica de la transformación junto con sus parámetros (si los tiene) en el caso de la importación de una transformación se utilizan una o varias de las existentes en los repositorios de Maltego para tal objetivo.

Al seleccionar la opción de New Local Transform podemos crear transformadas almacenadas en nuestro propio ordenador.

ANTONI COBOS 26

Guía Maltego Edición especial Detectivia

En la ventana debemos rellenarla con los datos que nos pide y en Input entity type elegiremos el objeto que acabamos de crear.

ANTONI COBOS 27

Guía Maltego Edición especial Detectivia

Por último, indicamos el programa a ejecutar y la ruta de trabajo.

ANTONI COBOS 28

Guía Maltego Edición especial Detectivia

Una vez elegido el script a ejecutar, podemos añadir el objeto MAC a nuestro grafo y aplicarle la transformada que acabamos de crear.

Ejecutando pseudoscripts Maltego nos permite ejecutar pseudoscripts predefinidos los cuales se ejecutan de manera remota (en servidores llamados máquinas) que se encargan de cumplir una determinada tarea para obtener información. También sería posible crear máquinas por el propio editor. Las máquinas por defecto en la versión gratuita son las siguientes:

Company Stalker: Esta máquina intentará obtener todas las direcciones de correo de un determinado dominio y averiguará cuales ofrecen resultados en redes sociales. Además, obtiene los documentos alojados en el dominio y extrae los metadatos. Requiere como dato de entrada el dominio a analizar. Footprint L1: realiza un footprint de nivel 1 (rápido, básico) sobre un dominio. ANTONI COBOS 29

Guía Maltego Edición especial Detectivia Footprint L2: Realiza un footprint de nivel 2 (medio) sobre un dominio. Footprint L3: Realiza un footprint de nivel 3 (intensivo) sobre un dominio. Requiere de tiempo y consume muchos recursos. Se recomienda usarlo con cuidado. Person – Email Adress: Intenta obtener las direcciones de correo de una determinada persona y averigua los sitios webs en los que aparecen. Requiere como dato de entrada una dirección de correo inicial. Prune Leaf Entities: Elimina las entidades sin nodos dependientes. Twitter Digger: Busca una determinada frase como un alias de Twitter. Es posible que esta máquina se vea bloqueada por la API de Twitter al ejecutarse en varias ocasiones. Twitter Geo Location: Intenta encontrar la geolocalización de una determinada persona en Twitter utilizando diferentes técnicas. Twitter Monitos: Monitoriza Twitter en busca de los hashtags, y entidades mencionadas que aparecen en torno a una determinada frase. URL To Network Add Domain Information: A partir de una URL obtiene información de la red y del dominio al que pertenece.

ANTONI COBOS 30

Guía Maltego Edición especial Detectivia

Al elegir una de esas opciones, nos pedirá ciertos inputs dependiendo de la opción elegida. Nosotros hemos seleccionado Footprint L3.

ANTONI COBOS 31

Guía Maltego Edición especial Detectivia

Analizaremos el dominio www.lsi.us.es. Como estamos en la versión Ce de Maltego, nos saltará un aviso diciéndonos que el resultado estará restringido a 12 nodos.

Al darle a OK Maltego se pondrá a trabajar y ejecutará el pseudoscript que hayamos elegido.

ANTONI COBOS 32

Guía Maltego Edición especial Detectivia

El grafo resultante es el siguiente.

ANTONI COBOS 33...