[Информационная безопасность, Open source] Maltego Часть 7. DarkNet matter

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
10-Ноя-2020 01:31

DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dark Net — это такой же интернет, но живет он в своем первозданном и незамутненном корпоративным и госрегулированием виде.
И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.

Перед прочтением рекомендую ознакомиться с предыдущими статьями цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно

Часть 2 — Интерфейс и базовое устройство

Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Часть 6 —Поиск информации с применением геолокации
Там много полезной информации.

Disclaimer

SPL
Disclaimer
Для корректной демонстрации механик я буду использовать уже известные мне рабочие примеры по поиску информации. Они не являются реальными в полной мере, однако являются крайне репрезентативными. Вся информация, представленная в данной статье, носит ознакомительный характер. Для повторения указанных методик Вам потребуется связка из Maltego с плагином Social Links.
Ну и будем честны: OSINT по DarkNet-форумам, это не поиск своих бывших одноклассников в ВК и не то, чем вы станете заниматься в рамках стандартных кейсов по OSINT.

В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.
Проверка благонадежности сотрудников

Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.
Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.
Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).

Используя Entitie: Search Person мы запускаем Transform: [Facebook] Search Users. Получаем аккаунт Тины в Facebook.

Для Entitie: Email Address мы стартуем Transform: [Facebook] Lookup By Email. Малтиго добросовестно находит тот же аккаунт, чем подтверждает, что это нужный нам человек.

Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через Transform: [Facebook] Get User Details. Получаем дополнительную информацию о месте работы, учебы, проживания (если данная информация заполнена в профиле фейсбук). Бонусом получаем связанный Инстаграм-аккаунт.

Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов Transform: [Convert] To Entities From Profile, чтобы получить предполагаемые Alias’ы человека (ну или если по-простому — предположительные никнеймы).

Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinka87.
Запускаем Transform: [Darknet] Search User по обоим Alias и смотрим результат.

А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!
Давайте проверим что пишет данный пользователь. Для этого запускаем Transform: [Darknet] User Posts.

А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.

Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.

Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.
И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.
PGP ключ, который смог


Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.
— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в Entitie: PGP Open Key, мы запускаем магию посредством Transform: [Convert] PGP To Email.

Вуаля! Мы имеем адрес электронной почты.

Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем Transform: [Facebook] Lookup By Email.

И, как итог, получаем аккаунт в Facebook.

Поиск информации на форумах DarkNet по ключевым словам и фразам

Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем Entitie: Phrase и задаем ей значение искомого слова/предложения. Применяем Transform: [Darknet] Search Posts и получаем выборку по постам на различных форумах, где есть указанная нами фраза.


Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим Transform: [Darknet] Search Products. В выдаче мы получим ссылки на «лоты» продуктов.

Еще поиск товаров можно выполнить от Entitie: Location. Тут нам доступны Transforms по поиску доставки в локацию и из нее: [Darknet] Search Products (shipping from) и [Darknet] Search Products (shipping to).

Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.

Вот и все на сегодня. Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь. Ну а если хочется почитать про самые интересные новости из мира ИБ и технологий, приходите в наш уютный тг-канал.

===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_informatsionnye_tehnologii (информационные технологии), #_osint, #_sotsialnye_seti (социальные сети), #_social_media, #_cybersecurity, #_security, #_bezopasnost (безопасность), #_darknet, #_darknet (даркнет), #_maltego, #_t.hunter, #_blog_kompanii_t.hunter (
Блог компании T.Hunter
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_open_source
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 12:29
Часовой пояс: UTC + 5