[Информационная безопасность, Open source, Социальные сети и сообщества] Maltego Часть 6. «Дорогой, где ты был? Бегал!» (с)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Здравствуйте, дорогие друзья. Сегодня целью моей статьи будет разбор функционала связки Maltego + Social Links на предмет поиска по геолокации. Как это работает и что мы сможем применять в OSINT? Давайте разбираться.
Геоположение играет не последнюю роль в OSINT. Не зря на Hack The Box один из новых OSINT челленджей (Kryptic Ransomware) завязан именно на поиске точных координат дома цели. Челлендж очень интересный, не поленитесь пройти.
Перед прочтением рекомендую ознакомиться с предыдущими статьями из цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно
Часть 2 — Интерфейс и базовое устройство
Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Там много полезной информации.
Итак, преступим. Первый метод, который мне известен — это использование родных Entities от Maltego: Circular Area и GPS Coordinate.
В параметрах данных Entities нам нужно указать координаты, которые можно нагло взять из Google Maps, и радиус охвата поиска, если мы используем Circular Area.
Для Entitie: GPS Coordinate нам доступно:
[Censys] Search in IPv4 — сделать запрос к базе Censys и найти все IP адреса по данным координатам.
[Facebook] Photos by Geo — найти фото по указанному геоположению.
[Facebook] Search for Places — найти места по указанному геоположению.
[Facebook] Videos by Geo — найти все видео по указанному геоположению.
[Instagram] Media by Geo — найти все медиафайлы по указанному геоположению.
[Snapchat] Snap by Geo — найти все медиафайлы по указанному геоположению.
[Twitter] Search Tweets by Geo — найти все твиты по указанному геоположению.
[Vkontakte] Photos by Geo Popular — найти популярные фото по указанному геоположению.
[Vkontakte] Photos by Geo Recent — найти недавние фото по указанному геоположению.
[Vkontakte] Stories by Geo — найти все сторис по указанному геоположению.
[YouTube] Videos by Geo — найти все видео по указанному геоположению.
Также имеется возможность преобразовать Entitie GPS Coordinate в Circular Area.
Для Entitie: Circular Area нам доступно все тоже самое, за исключением работы с API Censys.
Для теста я выбрал координаты центра Дворцовой площади. Почему? Как обычно — просто так.
Интереснее всего узнать, как работает Transform — [Facebook] Search for Places. По поводу фото, видео и медиа, думаю и так все понятно: есть геометка в соцсети — есть попадание в выдачу. Метки нет, нет в выдаче.
Конвертируем GPS Coordinate в Circular Area, выставляем радиус 1000 метров и запускаем трансформ. Получаем 94 места из поисковой выдачи Facebook.
Все достаточно релевантно, за некоторыми исключениями. Среди достопримечательностей, клубов, баров и ресторанов записалось 2 непонятных элемента.
Парень, который рассказывает, что можно купить яхту за 1000 евро и аккаунт, который называется Санкт-Петербург с фото какого-то рандомного чувака. Оба почему-то решили, что они компании и зарегистрировались на Facebook как коммерческий аккаунт с выставлением адреса юрлица в районе Дворцовой площади.
В остальном все достаточно верно. Все аккаунты имеют выставленный адрес в радиусе 1000 метров от Дворцовой.
Так что эти двое — больше недосмотр Facebook относительно достоверности коммерческих аккаунтов, чем ошибка Maltego. Геоданные у них в аккаунтах выставлены в пределах 1000 метров от Дворцовой.
Теперь опробуем поиск фото. Координаты — центр дворцовой по версии Google Maps (59.93901,30.315706), выдачу я специально ограничил на 50 фото, поскольку иначе нас просто захлестнет потоком всего найденного.
И тут уже начала вырисовываться некая модель, по которой Facebook возвращает результат. Изначально соцсеть находит ближайшее к точке место «интереса» и возвращает все фото, которые имеют соответствующую геометку. Так как мы указали центр Дворцовой площади, то и ближайшая метка по мнению соцсети — это Palace Square.
В итоге мы получаем в выдачу все фото, которые имеют данную метку.
Ну и в подтверждения гипотезы — возьмем координаты ресторана COCOCO (59.934991, 30.308709) и попробуем тот же трюк с поиском фото.
И получаем фото с … HI SO TERRACE … (это не то, что мы искали, если вы не поняли).
А нет, СТОП! Все верно. Данное заведение находится в одном доме с рестораном COCOCO. Видимо, рука дрогнула на пол градуса, когда метку на Google Maps ставил, чтобы координаты поймать).
А как дела со ВКонтакте, спросите вы? А вот с нашим любимым ВК все не так хорошо. Разброс просто дикий. Вот, например, запрос — по предыдущим координатам, а в выдаче фото, как и на расстоянии 200-300 метров от точки, так и вообще с геометкой Петергоф!
Что касается трансформа [YouTube] Videos by Geo — то тут дела чуточку лучше. Хотя и не сильно. В выдачу попало как видео с геометками конкретных мест в Санкт-Петербурге, в том числе и с геометкой ресторана COCOCO, так и много видео с геометкой РОССИЯ.
Еще к вариантам поиска по местоположению можно отнести Entitie: Search Person. Эта Entitie сделана для поиска человека в Facebook и имеет несколько полей в свойствах. Указав эти поля, мы задаем критерии поиска.
Представим, что нами известно ФИО и город. Задаем указанные значения и запускаем нужный нам Transform. На выбор доступно:
[Facebook] Search Users — поиск пользователей;
[Facebook] Search Users (Exact) — точный поиск с совпадением всех вводных данных;
[Facebook] Search Users (Up to 60 mins) — отложенный поиск пользователей;
[Facebook] Search Users (Up to 60 mins) (Exact) — точный отложенный поиск с совпадением всех вводных данных.
Ну и тут все ОК. Моя страница на Facebook есть в выдаче, как и предполагалось. Метод, проверенный и на Facebook работает без осечек. Ну если только не считать кучу однофамильцев, которую придется разгребать в поисках искомого аккаунта.
Отложенный поиск в данном случае нужен, чтобы обойти особенность Maltego по наличию окна ответа в 2 минуты. Применяется, если требуется выполнить поиск по большому массиву информации. Например, найти все аккаунты с указанным городом и выгрузить их на граф.
Теперь к практическим выводам.
Как самостоятельный элемент поиска данный функционал использоваться не может. Как дополнительный канал проверки информации или, например, дополнительный вектор расследования функционал может быть успешно применен.
Лично я применял эту методику поиска 2 раза, когда нужно было подтвердить по соцсетям фактическое прибывание человека где-то.
В рамках одного кейса были выгружены фото по координатам через сущность Circular Area, а потом были выгружены фото из соцсетей жены объекта кейса. Maltego, как и полагается, построил связи между совпавшими фото и, как итог, мы получили нужный результат.
Не пропустите следующие статьи цикла. Там мы поговорим о поиске информации на формах и магазинах в Dark Net.
А еще больше материалов и новостей из мира ИБ можно почитать в нашем телеграм-канале.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Реверс-инжиниринг] Уязвимость Use-After-Free (перевод)
- [Информационная безопасность] Новая версия ЧАВО для выбора паролей и правил создания систем аутентификации от NIST
- [Финансы в IT] Почему акции Facebook растут несмотря на рекламный бойкот, штрафы и расследования властей
- [Информационная безопасность, Исследования и прогнозы в IT] Битва за роутеры: как ботнеты делят сферы влияния
- [Дизайн мобильных приложений, Дизайн, Социальные сети и сообщества] Facebook окончательно перейдёт на новый дизайн версии для ПК в сентябре
- [Информационная безопасность, IT-инфраструктура, Реверс-инжиниринг, Исследования и прогнозы в IT] Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
- [Информационная безопасность, Виртуализация, Финансы в IT] Как подружить ГОСТ Р 57580 и контейнерную виртуализацию. Ответ Центробанка (и наши соображения на этот счет)
- [C#, Google Chrome, Тестирование веб-сервисов] Парсим любой сайт за считанные секунды. Как достать нужную информацию с сайта используя Selenium, XPath и Proxy Sever
- [Информационная безопасность, Криптография, Алгоритмы, Математика] Отношения. Часть II
- [Информационная безопасность, Антивирусная защита, Восстановление данных, Резервное копирование] Новый релиз Acronis True Image 2021 — комплексная киберзащита и новые возможности
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_sotsialnye_seti_i_soobschestva (Социальные сети и сообщества), #_informatsionnye_tehnologii (информационные технологии), #_osint, #_sotsialnye_seti (социальные сети), #_social_media, #_cybersecurity, #_security, #_bezopasnost (безопасность), #_vkontakte (вконтакте), #_google, #_facebook, #_blog_kompanii_t.hunter (
Блог компании T.Hunter
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_open_source, #_sotsialnye_seti_i_soobschestva (
Социальные сети и сообщества
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:40
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Здравствуйте, дорогие друзья. Сегодня целью моей статьи будет разбор функционала связки Maltego + Social Links на предмет поиска по геолокации. Как это работает и что мы сможем применять в OSINT? Давайте разбираться. Геоположение играет не последнюю роль в OSINT. Не зря на Hack The Box один из новых OSINT челленджей (Kryptic Ransomware) завязан именно на поиске точных координат дома цели. Челлендж очень интересный, не поленитесь пройти. Перед прочтением рекомендую ознакомиться с предыдущими статьями из цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно Часть 2 — Интерфейс и базовое устройство Часть 3 — Maltego и OSINT в Facebook Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях Часть 5 — Применение системы распознавания лиц для OSINT в Maltego Там много полезной информации. Итак, преступим. Первый метод, который мне известен — это использование родных Entities от Maltego: Circular Area и GPS Coordinate. В параметрах данных Entities нам нужно указать координаты, которые можно нагло взять из Google Maps, и радиус охвата поиска, если мы используем Circular Area. Для Entitie: GPS Coordinate нам доступно: [Censys] Search in IPv4 — сделать запрос к базе Censys и найти все IP адреса по данным координатам. [Facebook] Photos by Geo — найти фото по указанному геоположению. [Facebook] Search for Places — найти места по указанному геоположению. [Facebook] Videos by Geo — найти все видео по указанному геоположению. [Instagram] Media by Geo — найти все медиафайлы по указанному геоположению. [Snapchat] Snap by Geo — найти все медиафайлы по указанному геоположению. [Twitter] Search Tweets by Geo — найти все твиты по указанному геоположению. [Vkontakte] Photos by Geo Popular — найти популярные фото по указанному геоположению. [Vkontakte] Photos by Geo Recent — найти недавние фото по указанному геоположению. [Vkontakte] Stories by Geo — найти все сторис по указанному геоположению. [YouTube] Videos by Geo — найти все видео по указанному геоположению. Также имеется возможность преобразовать Entitie GPS Coordinate в Circular Area. Для Entitie: Circular Area нам доступно все тоже самое, за исключением работы с API Censys. Для теста я выбрал координаты центра Дворцовой площади. Почему? Как обычно — просто так. Интереснее всего узнать, как работает Transform — [Facebook] Search for Places. По поводу фото, видео и медиа, думаю и так все понятно: есть геометка в соцсети — есть попадание в выдачу. Метки нет, нет в выдаче. Конвертируем GPS Coordinate в Circular Area, выставляем радиус 1000 метров и запускаем трансформ. Получаем 94 места из поисковой выдачи Facebook. Все достаточно релевантно, за некоторыми исключениями. Среди достопримечательностей, клубов, баров и ресторанов записалось 2 непонятных элемента. Парень, который рассказывает, что можно купить яхту за 1000 евро и аккаунт, который называется Санкт-Петербург с фото какого-то рандомного чувака. Оба почему-то решили, что они компании и зарегистрировались на Facebook как коммерческий аккаунт с выставлением адреса юрлица в районе Дворцовой площади. В остальном все достаточно верно. Все аккаунты имеют выставленный адрес в радиусе 1000 метров от Дворцовой. Так что эти двое — больше недосмотр Facebook относительно достоверности коммерческих аккаунтов, чем ошибка Maltego. Геоданные у них в аккаунтах выставлены в пределах 1000 метров от Дворцовой. Теперь опробуем поиск фото. Координаты — центр дворцовой по версии Google Maps (59.93901,30.315706), выдачу я специально ограничил на 50 фото, поскольку иначе нас просто захлестнет потоком всего найденного. И тут уже начала вырисовываться некая модель, по которой Facebook возвращает результат. Изначально соцсеть находит ближайшее к точке место «интереса» и возвращает все фото, которые имеют соответствующую геометку. Так как мы указали центр Дворцовой площади, то и ближайшая метка по мнению соцсети — это Palace Square. В итоге мы получаем в выдачу все фото, которые имеют данную метку. Ну и в подтверждения гипотезы — возьмем координаты ресторана COCOCO (59.934991, 30.308709) и попробуем тот же трюк с поиском фото. И получаем фото с … HI SO TERRACE … (это не то, что мы искали, если вы не поняли). А нет, СТОП! Все верно. Данное заведение находится в одном доме с рестораном COCOCO. Видимо, рука дрогнула на пол градуса, когда метку на Google Maps ставил, чтобы координаты поймать). А как дела со ВКонтакте, спросите вы? А вот с нашим любимым ВК все не так хорошо. Разброс просто дикий. Вот, например, запрос — по предыдущим координатам, а в выдаче фото, как и на расстоянии 200-300 метров от точки, так и вообще с геометкой Петергоф! Что касается трансформа [YouTube] Videos by Geo — то тут дела чуточку лучше. Хотя и не сильно. В выдачу попало как видео с геометками конкретных мест в Санкт-Петербурге, в том числе и с геометкой ресторана COCOCO, так и много видео с геометкой РОССИЯ. Еще к вариантам поиска по местоположению можно отнести Entitie: Search Person. Эта Entitie сделана для поиска человека в Facebook и имеет несколько полей в свойствах. Указав эти поля, мы задаем критерии поиска. Представим, что нами известно ФИО и город. Задаем указанные значения и запускаем нужный нам Transform. На выбор доступно: [Facebook] Search Users — поиск пользователей; [Facebook] Search Users (Exact) — точный поиск с совпадением всех вводных данных; [Facebook] Search Users (Up to 60 mins) — отложенный поиск пользователей; [Facebook] Search Users (Up to 60 mins) (Exact) — точный отложенный поиск с совпадением всех вводных данных. Ну и тут все ОК. Моя страница на Facebook есть в выдаче, как и предполагалось. Метод, проверенный и на Facebook работает без осечек. Ну если только не считать кучу однофамильцев, которую придется разгребать в поисках искомого аккаунта. Отложенный поиск в данном случае нужен, чтобы обойти особенность Maltego по наличию окна ответа в 2 минуты. Применяется, если требуется выполнить поиск по большому массиву информации. Например, найти все аккаунты с указанным городом и выгрузить их на граф. Теперь к практическим выводам. Как самостоятельный элемент поиска данный функционал использоваться не может. Как дополнительный канал проверки информации или, например, дополнительный вектор расследования функционал может быть успешно применен. Лично я применял эту методику поиска 2 раза, когда нужно было подтвердить по соцсетям фактическое прибывание человека где-то. В рамках одного кейса были выгружены фото по координатам через сущность Circular Area, а потом были выгружены фото из соцсетей жены объекта кейса. Maltego, как и полагается, построил связи между совпавшими фото и, как итог, мы получили нужный результат. Не пропустите следующие статьи цикла. Там мы поговорим о поиске информации на формах и магазинах в Dark Net. А еще больше материалов и новостей из мира ИБ можно почитать в нашем телеграм-канале. =========== Источник: habr.com =========== Похожие новости:
Блог компании T.Hunter ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_open_source, #_sotsialnye_seti_i_soobschestva ( Социальные сети и сообщества ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:40
Часовой пояс: UTC + 5