Integrando Maltego en nuestras investigaciones OSINT

Si estás leyendo esto, imagino que ya tienes cierta experiencia en el mundo OSINT y te has dado cuenta de lo necesario que es utilizar diversas herramientas o métodos para obtener información, además, tienes las ganas y quieres aprender, ya que nuevos conocimientos permitirán realizar investigaciones más concretas y fidedignas a la hora del análisis y sus posteriores conclusiones.

Como se ha mencionado en diversas ocasiones existen diversas herramientas y recursos online para realizar OSINT y hoy quiero profundizar sobre una de ellas, me refiero a la herramienta “Maltego” la cual puede ser descargada desde su sitio oficial paterva.com.

Maltego es una de las herramientas de minería de datos más potente que existe en el mercado, la cual se caracteriza por su manejo intuitivo y su método de representar la información en base a gráficos que vinculan cada resultado con otros, pudiendo por ejemplo; a partir de un dominio encontrar los perfiles de RR.SS de sus trabajadores o incluso, teléfonos, imágenes o direcciones de correo electrónico de un individuo en particular. Todo esto es gracias a consultas que se realizan a diferentes fuentes de información o datos.

Para llevar a cabo esta tarea, Paterva ha desarrollado 3 versiones de esta particular herramienta, Maltego CE, Classic y XL. Como podrás imaginar, tanto classic como XL son las versiones de pago, que requieren de una licencia para poder ser utilizadas y además, tiene distintas funcionalidades que no posee la versión comunitaria la cual utilizaremos en este artículo.

Y si estás pensando que al utilizar la versión comunitaria no encontraras lo que buscas estás equivocado, sigue siendo una excelente alternativa para obtener resultados en Internet mediante información pública.

Ninguna buena investigación es fácil, requiere de trabajo y constancia para alcanzar buenos resultados…

En esta ocasión utilizaremos la versión 4,1 de la edición comunitaria.

Como indica Paterva en su sitio web, Maltego nos sirve para poder identificar relaciones entre:

• Personas
• Grupos de personas (redes sociales)
• Compañías
• Organizaciones
• Sitios web
• Infraestructura de internet
• Afiliaciones
• Documentos y archivos

A simple vista pinta bien ¿verdad?

Tenemos a nuestra disposición una gran cantidad de antecedentes que utilizaremos para nuestra investigación, ahora el siguiente paso obviamente es filtrar lo que recopilemos y quedarnos con lo verdaderamente útil para nuestro propósito.

Bueno, después de esta breve introducción, es momento de probar la herramienta y más adelante iré comentando algunas características o detalles importantes para tener en consideración.

¡Vamos allá!

POST INVITADO

Hoy tengo el placer de presentarte a Diego Muñoz (Twitter: @DM20911, LinkedIn: diegomunoze), apasionado de la Seguridad Informática, estudiante autodidacta del mundo del Hacking desde los 13 años, Pentester, Malware analyst, Ingeniería Informática, guitarrista de corazón, deportista y gamer.

Ha participado en diversos proyectos a nivel nacional y global referente a Ciberdefensa y soluciones Criptografícas, además es blogger de la comunidad sombreroblanco.cl.

En este artículo nos va a enseñar a utilizar la herramienta creada por Paterva denominada “Maltego” para realizar inteligencia en fuentes abiertas (OSINT).

Te dejo con él.

Instalación de Maltego

Una vez que hemos descargado Maltego, como todo software, nos pedirá aceptar los términos y condiciones que, como buena práctica, imagino todos leen siempre…

Le damos a aceptar y nos pedirá introducir nuestras credenciales a la herramienta. Si aún no has creado una cuenta en Paterva, debes dirigirte al siguiente enlace y crear una cuenta de usuario (https://www.paterva.com/web7/community/community.php).

Una vez ingresado los datos solicitados y resolver el captcha recibirás la bienvenida y podrás observar el siguiente contenido (el cual va variando de acuerdo a las actualizaciones).

 

Creación de un proyecto

Para iniciar un nuevo proyecto el cual es denominado “Graph” puede hacerse de 2 formas.

Una vez creado un nuevo Graph nos abrirá una ventana en blanco y en la barra izquierda nos encontramos con Entity Palette o la Paleta de Entidades.

Aquí encontraremos todas las opciones para realizar una búsqueda, lo único que tenemos que hacer es arrastrar una entidad y posicionarla en el Graph en blanco.

Para editarla podemos hacer doble click sobre ella o ir al panel derecho en el apartado “Property view” y editar el contenido que aparece de ejemplo, en este caso paterva.com.

Cómo ejemplo vamos a utilizar un sitio web al cual necesitamos realizar una búsqueda de información, para ellos utilizamos el botón derecho del mouse sobre la entidad que queremos consultar y nos mostrara una serie de opciones para realizar transformaciones (las opciones varían dependiendo de la entidad utilizada).

Realizar búsquedas en Maltego

Las búsquedas en Maltego son llamadas transformaciones y la cantidad de resultados dependerá de la versión de la herramienta utilizada.

Las versiones de pago, por lógica, poseen una cantidad de transformaciones superiores a la versión comunitaria.

La versión comunitaria CE tiene la capacidad de realizar un análisis a 10.000 entidades en un gráfico y puede devolver hasta 12 entidades por transformación.

Para este ejemplo utilizaremos la opción de “All transforms” al dominio de pruebas el cual arroja los siguientes resultados:

A simple vista podemos identificar que gracias al nombre de dominio utilizado encontramos un número de teléfono, correos, relación que tiene con algunas compañías, como por ejemplo Goodaddy, otros subdominios, servidores DNS y hasta ubicación.

Debemos tener claro que esta búsqueda fue realizada gracias a las diferentes técnicas que utiliza Maltego para la recopilación de información, realizando por ejemplo un whois al dominio consultado, preguntando en registros DNS, utilizando diversos motores de búsquedas, buscando en distintas redes sociales como Facebook, twitter, Instagram, etc.

Ahora debemos revisar cada uno de estos resultados haciendo doble click en ellos y revisando sus detalles.

Veamos qué información tiene el resultado de la pantalla con el “WWW” al lado inferior izquierdo:

Los detalles se dividen en el resumen, donde encontramos también en la parte superior derecha la opción de ir a Google a buscar información, abrir la dirección del dominio o buscar información en Wikipedia.

La segunda pestaña es la de archivos adjuntos (si es que quieres adjuntar algo), la tercera pestaña es para agregar notas y la última pestaña es la de propiedades, donde muchas veces hay información sobre puertos, imágenes, URLs, metadatos u otros antecedentes relacionados con la búsqueda.

Una vez obtenida esta información, podemos seguir realizando transformaciones a los datos ya entregados por Maltego, para ello utilizamos nuevamente el sitio web y seleccionamos la opción “All Transforms”:

Lo cual nos entrega los siguientes resultados:

Obtenemos nuevamente información relacionada con una empresa de hosting, un correo electrónico que, al analizarlo rápidamente por su composición, podemos identificar que el dominio al que realizamos estas transformaciones al parecer es un subdominio de otro, y también obtenemos una dirección IP.

Herramientas externas

Ahora, para buscar más información sobre esta IP, podemos utilizar algún whois o ir al apartado de herramientas OSINT de Ciberpatrulla, llegar a la parte de “IPs” y utilizar cualquiera de las herramientas que ahí aparecen para buscar información de esta dirección IP.

En nuestro caso utilizaremos la primera opción ipinfo.io.

Con esto haremos un “ping” al sitio web para validar la información entregada por Maltego el cual nos arroja los siguientes resultados:

Con esto podemos observar que la dirección IP es la misma que nos mostró la transformación y que efectivamente este sitio se encuentra alojado en el hosting de los resultados.

Los siguientes pasos podrían ser, realizar transformaciones a cada uno de los resultados obtenidos, agregar notas y relaciones y eliminar los datos que no puedan ser comprobados, ya que Maltego no siempre entregara datos fidedignos.

Bueno… y ¿eso es todo? -No

Maltego tiene muchas opciones.

Creando gráficos

Una de las opciones de Maltego es la de utilizar las entidades para crear nuestras propias gráficas de información. Basta con arrastrar las entidades que necesitemos, editarlas con la información que poseamos, dirigir el cursor hacia el objeto que queramos enlazar y mover hacia otro generando un “vínculo” estableciendo algún tipo de identificación como podemos observar en el siguiente ejemplo:

Al realizar esto podremos visualizar la información obtenida de forma ordenada e ir completando nuestra investigación con lo diferentes antecedentes recopilados (previa comprobación de estos).

Una vez obtenidos y ordenados estos datos, podemos seleccionar cada uno de ellos mediante la tecla shift y luego utilizar “All transforms” nuevamente, con lo que generaremos una transformación a todas las entidades seleccionadas, permitiendo además visualizar los mismos vínculos, otros distintos o la aparición de nuevos antecedentes respecto a esta búsqueda. Antes de eso nos saldrá una ventana la cual nos pedirá información con respecto a la transformación, para ello podemos ingresar por ejemplo; www.google.com para indicar que queremos utilizar este motor de búsqueda y le damos a “run”.

En pocos segundos Maltego nos muestra perfiles de redes sociales, más correos electrónicos, ubicación, DNS y alias, entre otros.

Buscando en redes sociales

En este punto, una vez obtenidas las cuentas de redes sociales (twitter en este caso), es posible seguir buscando información, pero para ello, es necesario ingresar mediante una cuenta de la red social a la cual queremos consultar. Para este caso debemos utilizar una cuenta de twitter y seguir realizando transformaciones. Es importante señalar que al momento de ejecutar estas transformaciones la propia herramienta nos pedirá conectarse en una red social antes de continuar.

Aquí nuevamente al hacer doble click sobre un perfil podemos irnos a detalles y observar propiedades de los resultados, donde encontramos por ejemplo:

Nombres completos de un perfil, la URL de la cuenta, el ID del perfil, la dirección de la imagen, entre otros antecedentes.

Esta información va variando de acuerdo a lo recopilado por Maltego. Algunas veces encontraras mucha información y otras veces nada, pero esa es la gracia de todo esto, ninguna buena investigación es fácil, requiere de trabajo y constancia para alcanzar buenos resultados.

¿Hasta ahora ha sido interesante?

Maltego trae muchas entidades para consultar, cada una de ellas puede ser arrastrada y utilizada para buscar diferentes tipos de datos.

Antiguamente o en otras versiones de la herramienta, existían entidades relacionadas con otras redes sociales, pero en la versión que utilizamos para este artículo solo hay entidades para twitter y hashtags de la misma red social.

Y si comparamos este apartado relacionado con redes sociales con uno antiguo, podemos observar que anteriormente existían entidades para Facebook por ejemplo:

¿Por qué ya no existe esta entidad en la versión comunitaria 4.1? ¿Se estará trabajando en nuevas mejoras? o en definitiva ¿no se incluirá más esta opción a las futuras actualizaciones de la herramienta?

Habría que preguntar a Paterva. En todo caso, como alternativa en GitHub hay entidades para Facebook que se pueden importar (https://github.com/cmlh/Maltego-Facebook.git).

El Centro de Transformaciones

Continuando con el tema de otras entidades para búsqueda de información, existe una alternativa para este tipo de requerimientos y con esto me refiero a lo que observamos al inicio cuando ejecutamos la herramienta por primera vez, el uso de transformaciones externas.

Paterva dentro de sus colaboradores posee un “Centro de Transformación” lo que permite acceder mediante Maltego a datos de diferentes herramientas o proveedores de algún servicio utilizando su hub oficial para ello.

Al igual como ocurre con las versiones de Maltego, también hay hubs de pago y gratuitos para la versión comunitaria, los cuales pueden ser revisados en el siguiente link del sitio oficial de Paterva.

Estos nos permiten tener una herramienta más robusta en cuanto a transformaciones para poder ejecutar.

A modo de ejemplo instalaremos el hub de SocialLinks, el cual nos brindará algunas entidades sociales para su uso.

Al instalarlo nos pedirá validar el certificado y se instalará en Maltego.

Ahora si creamos un graph nuevo y nos dirigimos al apartado de entidades, podemos ver que ya se encuentra la sección de Social Links, la cual nos permite en este momento y con la versión actual del hub, buscar información utilizando la entidad de “Pipl”, una entidad de “Company” y antecedentes relacionados con “GitHub”.

Con el paso del tiempo estas se van actualizando, agregando nuevas entidades o eliminando algunas.

Hay que recordar que los hub de transformaciones dependen directamente de cada empresa desarrolladora, Maltego solo las integra a su sistema.

Una vez realizado esto podremos utilizar las nuevas entidades ya instaladas en Maltego, eso sí, para poder utilizarlas es necesario agregar las APIs que requiere cada hub. Muchas veces basta con ir al sitio web de la entidad que queremos ocupar, registrarnos y copiar la API que utiliza para integrarla a Maltego.

En el siguiente ejemplo, instalamos el hub de Shodan e ingresamos la API que conseguimos de nuestro login en el sitio oficial shodan.io.

Instalación del hub de Shodan

API de Shodan desde su sitio web una vez logueado

Una vez realizado esto podríamos consultar una entidad de direccionamiento IPv4 y en las opciones de transformación ya estaría integrado el scanning por parte del hub de Shodan:

Ahora si quisieras agregar nuevos hub, basta con seleccionar la opción de agregar y seguir los pasos que se detallan.

Exportar la información

Para finalizar como la mayoría de las herramientas, Maltego brinda la opción de exportar sus resultados.

Para ello solo es necesario ir a la parte superior de la herramienta, seleccionar la pestaña de “import | export” y listo.

Por ejemplo, vamos a hacer una transformación básica a ciberpatrulla.com:

Luego exportamos estos resultados

Generamos un reporte y…

Guardamos los resultados y ya tenemos un PDF con la información que recopilamos con Maltego.

También tenemos la opción de importar como tabla o imagen, todo a gusto del investigador. (Dicen que una imagen vale más que mil palabras).

Comentarios finales

Ahora debemos seguir haciendo Doxing con las cuentas obtenidas para recopilar más información de nuestro interés.

Para ello puedes usar las guías de ciberpatrulla así como el repositorio de herramientas.

Nuevamente debo mencionar que no toda la información que entrega Maltego es 100% fiable, todo lo recopilado debe ser comprobado para evitar errores o confusiones que perjudiquen nuestra investigación, además no hay que olvidar que Maltego es otra herramienta más para recopilar antecedentes, no la única que debemos usar.

Herramientas de este tipo nos facilitan cierto tipo de búsquedas de información, ya que puede llegar a identificar una gran cantidad de antecedentes.

Si estas pensando que para usarla solo puedes hacerlo en Windows, tengo una buena noticia, y es que la herramienta puede ser instalada también en MAC y Linux, incluso viene incluida en algunas distribuciones como Kali, Buscador y Huron.

Ahora solo queda poder interactuar con Maltego y probar cada una de sus entidades y funcionalidades, integrar nuevas APIs para búsquedas específicas e ir desarrollando una metodología propia para nuestras investigaciones.

Enlaces de Interés:

• Sitio Oficial de Maltego
• Documentación
• Maltego Versión 3 User Guide
• Canal Youtube Paterva
• Canal Youtube Cylon Null (Recomendado)