Tutorial Maltego
-
Upload
cassio-ramos -
Category
Technology
-
view
11.019 -
download
10
Transcript of Tutorial Maltego
UNIVERSIDADE ESTÁCIO DE SÁ CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES
DISCIPLINA: ANÁLISE DE VULNERABILIDADES
Prof.: Cassio Ramos
Tutorial de Uso Maltego 3.0.4 Data Mining
Alunos:
NOME MATRÍCULA Eduardo Gonçalves de Melo 2010.100.26.12-7 Marcelo Henrique Marins e Silva 2010.100.26.14-3 Pedro Apolinario Viana 2010.100.34.19-7 Roberto da Silva Henriques Coval 2010.100.26.13-5
2 Tutorial de uso do Maltego – Data Mining
1. OBJETIVOS DESTE TRABALHO
Este trabalho tem como objetivo a elaboração de um tutorial prático, destinado aos
profissionais de TI, que auxiliará a estabelecer uma estratégia de uso de um software de Data
Mining - Maltego - na investigação de informações sobre uma pessoa qualquer. Tomou-se
como premissa que o usuário já tenha vencido as etapas de instalação e configuração do
software, que não representa nenhuma grande dificuldade.
O trabalho está baseado na versão grátis, ou Community Edition (CE), da versão 3.0.4
do Maltego. Esta é a versão mais recente até a publicação deste documento e pode ser
encontrado no link abaixo, com opções para plataformas Windows e Linux:
Fig.1 – Link da empresa Paterva – criadora do Maltego
3 Tutorial de uso do Maltego – Data Mining
2. ESTRATÉGIA
A função que o Maltego exerce é conhecida com Data Mining, o que na melhor tradução
poderia ser compreendida como “garimpo de informações”. Assim sendo, a maior parte das
atividades que o Maltego automatiza poderiam ser feitas a partir de scripts, buscas na web,
consultas em DNS, etc. O Maltego não explora diretamente nenhuma vulnerabilidade do
objeto alvo de pesquisa. A forma gráfica de exibição dos resultados das pesquisas facilita
enormemente a seleção e refinamento das respostas se comparado com a forma usual em
“modo texto”.
Este tutorial tem como objetivo mostrar o uso do Maltego para obter o máximo de
informações sobre uma pessoa qualquer. Trabalhando com a versão gratuita do software,
tem-se um número limitado de resultados obtidos nas pesquisas automatizadas, mas pode-se
claramente ver o seu potencial de uso e, mesmo com as limitações, é possível obter algumas
valiosas informações sobre o objeto ao qual estamos procurando informações.
Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar
um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no
trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software
até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica
atribuída na programação do software, mas somente quem está no comando da pesquisa
pode definir se a resposta faz ou não sentido, como no exemplo abaixo:
Fig.2 – Relevância do e-mail: Maltego x Usuário
No exemplo capturado anteriormente, quando procuramos e-mails relacionados com a
pessoa “Maria das Graças Meneguel”, o Maltego, ao calcular o grau de relevância dos e-mails
encontrados, poderia atribuir um peso menor ao e-mail [email protected], pois o nome “xuxa”
não parece ter vínculo semântico/textual com o objeto pesquisado. Se o usuário não tivesse a
informação de que “Xuxa” é o nome artístico da “Maria das Graças Meneguel”, a pesquisa
poderia se distanciar dos resultados esperados.
Diante disso, traçou-se para este trabalho uma linha de informações preliminares que
nos auxiliarão a obter informações complementares sobre uma pessoa qualquer. Mas antes foi
necessário “escolher” um alvo qualquer para ser o objeto de pesquisa. Este trabalho está
4 Tutorial de uso do Maltego – Data Mining
dividido em duas partes, conforme o alvo: uma que busca informações sobre um e-mail/nome
e a segunda que trata de busca por informações de um site/domínio.
Em Data Mining a organização corresponde a 80% do trabalho. Estabelecer critérios
para tomadas de decisão, usar ferramentas auxiliares, definir checkpoints para identificar onde
uma decisão errada está se distanciando do alvo (a escolha errada do e-mail no exemplo
acima), etc. Tudo isso alimenta o “motor de inferência” das respostas obtidas com o Maltego
(ou qualquer outra ferramenta de Data Mining) para traçar o Dossiê. Este motor de inferência
é o próprio pesquisador.
5 Tutorial de uso do Maltego – Data Mining
3. DATA MINING - Pesquisa de e-mail/domínio
ARBITRANDO UM E-MAIL PARA SER O ALVO:Para escolher um e-mail existente, aleatório, do
qual não se tinha nenhum vínculo ou informação, entrou-se com a seguinte string de busca no
Google: “futebol”, “bola”,“papo” “@gmail.com” e obteve-se o seguinte resultado:
Fig.3 – Escolha aleatória de um e-mail do gmail
Pelo próprio Google já foi possível notar que o assunto correlato é FUTEBOL e que
existe um domínio registrado com nome papodebola.com.br. Então é hora de atualizar o log
das informações até então obtidas:
Antes de ir ao Maltego, investigou-se a existência de algum outro e-mail relacionado
que pode ser útil. O próprio GMail nos auxiliará nesta missão. Basta “simular” que somos o
usuário real e esquecemos a senha. O GMail pode dar mais algumas pistas de e-mails
alternativos para montar o log:
Fig.4a – Recuperação de senha do Gmail: mais pistas
e-mail: [email protected]
Domínios relacionados: gmail.com, papodebola.com.br
Assuntos de Interesse: futebol
6 Tutorial de uso do Maltego – Data Mining
Fig.4b – Novas pistas descobertas
Estas informações poderiam ser obtidas com o próprio Maltego, porém usando a
versão gratuita não temos número de respostas suficientes para obtê-las, já que as respostas
que queremos residem basicamente em domínios registrados no Brasil (.br). Os fóruns
apontam esta “superficialidade” nas respostas da versão gratuita como “non deep-dig”, ou
seja: escavação não profunda.
Apesar do Gmail “ocultar” os caracteres que formam o segundo e-mail do alvo, pode-
se facilmente inferir que:
P*********@y****.***.** corresponde a [email protected]
Sobre o telefone, não se pode afirmar muita coisa, mas é possível observar que trata-
se de um número de 11 dígitos. No Brasil a grande maioria dos números particulares possuem
apenas 8 dígitos e usa-se 3 dígitos para código de localidade. Então, pode-se inferir que o
número deve ser: (***) ****-**34. Mais uma observação útil: todos os DDS começam por “0”
(zero), logo, melhorando a informação temos: (0**) ****-**34
Já temos mais informações que nos auxiliarão nas escolhas que faremos usando o Maltego.
Resta atualizar o log:
E com estas informações preliminares já podemos iniciar a pesquisa com o Maltego.
e-mail: [email protected]
e-mail alternativo (não confirmado): [email protected]
Telefone: (0**) ****-**34
domínios relacionados: gmail.com, papodebola.com.br
Assuntos de Interesse: futebol
7 Tutorial de uso do Maltego – Data Mining
BUSCANDO OUTROS E-MAILs RELACIONADOS: Como primeira aproximação, inseriu-se o e-
mail do GMail e buscou-se as transformações relacionadas somente com e-mail.
Fig.5 – Transformação para e-mail
Existem 4 níveis de transformação disponíveis para este Objeto (e-mail), a saber:
a) All Transforms (no topo da lista): São Pesquisas Específicas para e-mail + Pesquisas
Complementares que tratam e-mail de forma indireta (verificação de DNS, sites de
relacionamentos, etc);
b) Related E-mail Addresses: São somente as Pesquisas Específicas citadas
anteriormente;
c) Other Transforms: São somente as Pesquisas Complementares citadas anteriormente;
d) All Transforms (na base da lista): São todas as Pesquisas Disponíveis. O Maltego exibe
um alerta dizendo que os resultados podem demorar. Este tipo de pesquisa deve ser
feita com cautela, pois pode trazer muitos resultados inúteis e a tela fica muito
confusa.
Vamos usar a transformação específica para e-mail (“Related E-mail Addresses”), mas
antes, sugerimos que sejam ajustados alguns parâmetros. Para tanto, basta clicar no pequeno
ícone destacado na figura. O nome “transformações” é um nome genérico que a provedora do
software usa para designar uma pesquisa, pública ou não.
As pesquisas públicas permitem que o usuário ajuste para qual ferramenta pública deseja
usar na sua pesquisa. Em algumas opções de busca na web, o engine do Maltego usa o Yahoo,
mas podemos, e aconselhamos que isso seja feito, direcionar para o Google, por exemplo. E
isso será feito sempre que a parametrização permitir.
8 Tutorial de uso do Maltego – Data Mining
Fig.6 – Ajustando o Search Engine para o Google, ao invés do Yahoo
Explorando melhor este quadro, percebe-se que existem diversas outras informações
sobre a maneira que o Maltego faz esta busca. Percebe-se qual é a Entrada e Saída desta busca
(INPUT e OUTPUT), a descrição, o timeout (por exemplo: se o Google estiver lento para
responder, pode-se ajustar este tempo), etc.
Das informações dispostas nas colunas, a maioria é obvia, mas cabe destacar a
Location, que indica de onde partirão efetivamente as buscas. Na versão comercial existem
buscas que podem partir da sua estação de trabalho diretamente (e existem APIs para que o
usuário mesmo desenvolva). No caso das transformações do grupo de e-mail, os módulos
estão em CES TAS (site do fabricante).
9 Tutorial de uso do Maltego – Data Mining
Do resultado obtido ao rodar as transformações relativas a e-mails, temos a resposta
exibida na tela abaixo, da qual, foi destacada as que sugerem maior chance de sucesso nas
investigações que se seguirão.
Fig.7 – Escolhendo mais informações relacionadas
Para não congestionar a tela, podemos apagar os objetos que vamos desconsiderar,
mas sempre incluindo as novas informações no log. Para maior detalhe do que foi descoberto,
cabe observar com atenção a tela de properties. Clica-se (uma única vez) no objeto para
destacá-lo e em seguida ver o que traz a janela de Property View, conforme abaixo:
Fig.8 – Propriedades do Objeto
10 Tutorial de uso do Maltego – Data Mining
e-mail: [email protected]
e-mail alternativo (não confirmado): [email protected],
[email protected], [email protected]
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
Percebemos mais informações relevantes para pesquisa. O investigador deve visitar as
URLs apontadas e, se achar conveniente traçar pesquisas em paralelo para investigar mais
detalhes. Era objetivo descobrir novos e-mails associados, mas além de descobri-los acabamos
por achar outro domínio relacionado (diariosassociados.com.br). É momento de atualizar o
log:
11 Tutorial de uso do Maltego – Data Mining
CONFIRMANDO OS E-MAILS: Vamos rodar uma transformação que permitirá saber se
os e-mails até então descobertos são válidos. Esta informação poderá ser útil para um
futuro contato por e-mail usando Engenharia Social.
Fig.9 – Confirmando os e-mails
Pelo exibido na figura cima o log “perdeu” uma informação de e-mail (@terra.com.br)
e teve um deles sem verificação (@diariosassociados.com.br), mas o domínio continua sendo
útil, apesar de não ser possível confirmar o e-mail, não quer dizer que ele não exista ou que
nunca tenha existido.
12 Tutorial de uso do Maltego – Data Mining
DESCOBRINDO INFORMAÇÕES SOBRE PESSOAS ATRAVÉS DE DOMÍNIOS RELACIONADOS
Na sequência de passos a seguir, vamos obter informações sobre a pessoa que utiliza o
e-mail alvo de nossa pesquisa. As transformações objetivarão descobrir se existe algum mais
domínio associado à conta [email protected].
Vamos investigar outros domínios relacionados com a transformação abaixo.
Novamente sugerimos que seja alterado o parâmetro para apontar para o Google (destaque
em verde abaixo):
Fig.11 – Pesquisando outros domínios relacionados
Cabe destacar que foi usada a transformação “To Website” ao invés de “To Domain”.
Esta última nos levaria a obter informações do Gmail, já que este é o domínio diretamente
associado ao e-mail fornecido. Ao usar a transformação “To Website”, buscamos sites na web
que tenham relacionamentos com qualquer parte do e-mail fornecido.
Fig.12 – Destaques de possíveis sites relacionados
13 Tutorial de uso do Maltego – Data Mining
Observa-se que o tema preferido do nosso alvo é mesmo relacionado a futebol e esta
informação ganha mais peso a cada passo, dado o link com o site do Milton Neves, conhecido
comentarista esportivo. Provavelmente vamos encontrar alguma entrada no Tweeter, graças a
pista dada pelo domínio tweetmeme.com (search tool de comentários do Tweeter).
O maior destaque é o site www.papodebola.com.br. Vamos apagar os demais sites e
explorar mais este último. Aplicaremos mais transformadas para converter o site em domínio e
buscaremos informações sobre o “dono” do e-mail alvo desta pesquisa.
Fig.13 – Convertendo o site em domínio
A partir do domínio obtido, as transformadas a seguir exibem informações do
proprietário do domínio, que poderá ter algum relacionamento com nosso alvo.
Fig.14 – Transformada para obter mais dados do domínio.
14 Tutorial de uso do Maltego – Data Mining
É possível obter os servidores que servem ao domínio, conforme mostra a figura a
seguir. Porém a pesquisa sobre o proprietário do domínio não foi possível de ser feita na
versão gratuita, que usa o WhoIs público americano. No Brasil a consulta adequada deveria ser
para o WhoIs do Registro.br. Vamos fazer uma busca alternativa usando o Maltego e depois
confirmar com uma consulta direta ao Registro.br.
Usando o Maltego, aplicamos a transformação sobre o e-mail alvo para obter
informações de redes sociais (no caso o flickr):
Fig.15 – Busca em redes sociais
O resultado aponta para uma entidade “EduCesar” presente no Flickr. Uma visita ao
site indicado no menu Property View confirma a possibilidade de que o proprietário do
domínio papodebola.com.br seja também o titular do e-mail [email protected] e possui
o nome “Eduardo Cesar”
Fig.16 – Vínculo com o site Flickr (yahoo)
15 Tutorial de uso do Maltego – Data Mining
Nome: Eduardo de Oliveira Cesar
e-mail: [email protected], [email protected]
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
CNPJ: 078.512.603/0001-60
Uma consulta complementar no Registro.br confirma o que encontramos:
Fig.17 – Consulta ao Registro.br
O e-mail do domínio @terra.com.br voltou ao log, graças ao “peso” que o pesquisador
deu às informações do site registro.br.
De posse destas informações, devemos atualizar o log:
16 Tutorial de uso do Maltego – Data Mining
Agora temos várias fontes para iniciar uma nova pesquisa. Vamos criar um novo objeto
chamado “Eduardo de Oliveira Cesar” e fazer novas transformações.
Fig. 18 – Novo Objeto do tipo PERSON
Percebe-se que uma nova caixa de diálogo se abre, questionando sobre informações
adicionais de tentativa de vínculo com algum domínio. No caso, buscamos vínculos com
papodebola.com.br e este foi o domínio preenchido. Os campos destacados NÃO ESTÃO EM
BRANCO. Foram preenchidos com o caráter ESPAÇO, conforme sugere o texto em inglês
quando não temos nada para informar.
Fig. 19 – Preenchendo informações adicionais de vínculo
17 Tutorial de uso do Maltego – Data Mining
A resposta a esta pesquisa foi enriquecedora, pois revela claramente os vínculos já
apontados. Inclusive achamos o e-mail original ([email protected]) que iniciou esta
pesquisa.
Fig. 20 – Vínculos estabelecidos e confirmados.
Apesar de parecer ser convincente uma foto com o nome e sobrenome do alvo
procurado, o pesquisador precisa recorrer aos seus critérios antes de aceitar esta informação.
Uma visita ao FaceBook e busca pelo nome mostra um perfil que diverge fortemente dos
temas relacionados ao futebol conforme era esperado. Isto serve para ilustrar que o
pesquisador sempre deve ponderar muito antes de adotar ou não uma nova pista. Um erro
pode levar a caminhos de difícil retorno.
18 Tutorial de uso do Maltego – Data Mining
Para se preparar para um possível contato com o alvo, é melhor que seja direcionado
um e-mail para uma conta pessoal e não uma conta [email protected]. Para confirmar
se a conta eduardodeoliveiracesar@gmail pertence mesmo ao alvo e se está ativa, basta
realizar as transformações abaixo:
Fig. 21 – Verificar se o e-mail existe
Fig.22 – Comprovação do vínculo entre o domínio e o e-mail pessoal
Na figura cima, além dos vínculos confirmados, aparecem outras informações que
sugerem uma atividade profissional do alvo: atividade policial. Fato percebido pelos domínios
sociedadepolicial.files.wordpress.com e guardamunicipalnh.ning.com.
19 Tutorial de uso do Maltego – Data Mining
Nome: Eduardo de Oliveira Cesar
Profissões relacionadas: comentarista esportivo, atividade policial (à confirmar)
e-mail: [email protected], [email protected]
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
CNPJ: 078.512.603/0001-60
Então, de posse destas novas informações pode-se buscar informações complementares no
Google, bastando entrar com os dados obtidos do log:
Uma informação parecia não estar correta: ao se consultar o link do YouTube que a
pesquisa do Google apontava, foi possível constatar que, no exemplo escolhido ao acaso para
este trabalho, ocorreu um caso de homônimo perfeito. Confrontando a foto exibida na página
da rádio gaúcha onde aparece o Eduardo de Oliveira Cesar, com forte ligação ao futebol, o link
do YouTube mostra uma outra pessoa na reportagem de prisão de foragidos no Rio Grande do
Sul, conforme imagens abaixo:
Fig. 23 – Informações do Google para os possíveis “Eduardo de Oliveira Cesar”, dono do e-mail
20 Tutorial de uso do Maltego – Data Mining
Para dirimir este conflito utilizamos um simples artifício de Engenharia Social, mandando um e-
mail para o [email protected], com um assunto fortemente relacionado à futebol onde,
além de obter mais informações, comentamos sobre o caso de homônimo.
Para obter um link, fomos até o site do Milton Neves buscar algum vínculo que desse
credibilidade ao e-mail e achamos este comentário assinado pelo alvo.
Fig.24 – Vínculo obtido em http://terceirotempo.ig.com.br/coluna_materia.php?id=835
Montamos então o seguinte e-mail:
Fig. 25 – Texto de e-mail
21 Tutorial de uso do Maltego – Data Mining
Utilizamos um serviço de envio anônimo de e-mails (Fake E-mails). Este provedor foi
escolhido porque é um dos poucos que não acrescenta um Banner identificador da origem:
Fig. 26 – Fake Mail - http://emkei.cz/
Direcionamos as respostas e os erros de entrega para o e-mail real que foi criado no
Gmail: [email protected]. Assim, se o alvo responder ao remetente, as
respostas seguirão para este endereço do Gmail.
22 Tutorial de uso do Maltego – Data Mining
4. DATA MINING - Pesquisa de site/domínio
Com a proximidade dos jogos olímpicos que serão realizados no Rio de Janeiro em 2016,
muitos questionam se a cidade estará preparada para esse evento. Com esse pensamento,
resolvemos verificar a vulnerabilidade do domínio do COB (Comitê Olímpico Brasileiro -
www.cob.org.br).
Com o auxilio do Maltego tentaremos identificar alguns servidores no domínio
“cob.org.br”, tais como servidores de e-mail, DNS, FTP, etc.
Fig.1 – Transformação para servidores DNS
A figura a seguir mostra o resultado de alguns servidores encontrados.
Fig.2 - Servidores publicados na WEB
Mesmo sendo uma versão gratuita, o Maltego mostrou um resultado satisfatório e
oferece algumas funções que irá nos ajudar muito em nossa pesquisa. Como por exemplo, a
resolução de endereço IP de um servidor encontrado.
23 Tutorial de uso do Maltego – Data Mining
Fig.3 – Resolvendo endereço IP
Para conferir a veracidade do Sistema, fiz uma consulta no Netcraft (http://news.netcraft.com)
Fig.4 – Resultado da busca no endereço FTP (http://ftp.cob.org.br)
Na fig.2 é possível identificar alguns tipos de servidores pelo nome. Como exemplo o
próprio servidor FTP. Pois se utilizarmos o endereço na internet ele solicitará uma conta para a
autenticação e acesso do mesmo.
Mas usaremos outro servidor de exemplo para que seja possível utilizar mais uma
opção do Maltego. A escolha da transformação To Domain [Sharing this MX] determina quais
domínios utilizam o mesmo nome DNS.
24 Tutorial de uso do Maltego – Data Mining
Fig.5 - Transformação To Domain [Sharing this MX] no objeto srv-correio.cob.org.br
O sistema mostrará mais três domínios, onde é evidente o domínio criado para as
olimpíadas de 2016 aqui no Rio de Janeiro. Os outros dois são de uma empresa responsável
pelo marketing do COB (http://olympomkt.com.br) e outro criado provavelmente para um
comitê das olimpíadas de 2004 em Atenas.
Mas concentrando esforços na busca por informações sobre os jogos de 2016: Existe
uma opção no Maltego que é capaz de nos mostrar documentos hospedados em site web
dentro do domínio.
Fig.6 – Encontrando arquivos e documentos hospedados no domínio.
25 Tutorial de uso do Maltego – Data Mining
Fig.7 – Arquivos e documento encontrados hospedados no domínio.
A maior parte dos arquivos encontrados tem como título o nome de um cargo. Para
visualizar o arquivo hospedado é necessário copiar o endereço da URL que se encontra na
propriedade do objeto. Basta dar um dublo clique em cima do objeto ou selecioná-lo e em
seguida clicar na guia Property View no canto superior direito da janela do sistema.
Fig.8 – Acessando as propriedades do objeto
26 Tutorial de uso do Maltego – Data Mining
Depois de copiar o endereço da URL, acessamos o mesmo e foi possível verificar que se
tratava de um documento descrevendo uma possível vaga de emprego no Comitê Olímpico
Rio 2016
(http://www.rio2016.org.br/sites/default/files/analista_de_infraestrutura_de_ti_junio
r.pdf).
Utilizando a mesma técnica no domínio rio2016.org.br que utilizamos no domínio
anterior (conforme mostrado na Fig. 1) iremos obter o seguinte resultado.
Fig.9 - Servidores publicados na WEB do domínio rio2016.org.br
Agora, é possível verificar que no resultado surgiu um servidor de acesso ao correio
eletrônico pela WEB. Quando acessamos o endereço webmail.rio2016.org.br verificamos que
o servidor de e-mail que eles utilizam provavelmente é um Microsoft Exchange 2007.
27 Tutorial de uso do Maltego – Data Mining
Fig.10 – Página de acesso ao correio eletrônico na WEB do domínio rio2016.org.br
Na maioria das vezes, os administradores de correio Exchange acabam configurando a
conta de e-mail com o mesmo nome que a conta de rede (domínio) para cada conta. Ou seja,
se a conta de acesso a rede corporativa é carlos.nuzman, então o endereço de e-mail ficaria
Agora que já temos o endereço para acessar o webmail da empresa, falta apenas
encontrar uma conta para este domínio. Com a conta em mão é possível criar uma lista de
senhas (Word List) para em seguida tentar um ataque de força bruta (Brute Force) ou mesmo
engenharia social, conforme mostrado na primeira parte deste trabalho.