Khái quát về Maltego
Maltego là gì?
Maltego là một giải pháp phần mềm sử dụng cho lĩnh vực tình báo nguồn mở
Open Source INTelligence (OSINT) là công cụ điều tra số hiệu quả, trong đó Maltego, phát triển bởi Paterva tại Pretoria, Nam Phi, nổi bật với khả năng khám phá dữ liệu từ các nguồn mở Maltego cung cấp thư viện các phép biến đổi, hiển thị thông tin dưới dạng biểu đồ, giúp phân tích liên kết và khai thác dữ liệu một cách trực quan Kể từ năm 2019, Maltego Technologies, với trụ sở chính tại Munich, Đức, đã đảm nhận tất cả các hoạt động phục vụ khách hàng toàn cầu.
Hình 1 - Giải phẫu băng nhóm tội phạm mạng WizardSpider
Maltego là công cụ phân tích liên kết đồ họa mạnh mẽ, cho phép thu thập thông tin và khai thác dữ liệu theo thời gian thực Nó biểu diễn thông tin dưới dạng biểu đồ dựa trên nút, giúp người dùng dễ dàng nhận diện các mẫu và kết nối giữa các thông tin.
Maltego cho phép người dùng khai thác dữ liệu từ nhiều nguồn khác nhau, tự động hợp nhất thông tin liên quan và tạo ra biểu đồ trực quan, giúp khám phá toàn cảnh dữ liệu một cách dễ dàng.
Maltego cho phép người dùng dễ dàng kết nối dữ liệu từ nhiều nguồn khác nhau thông qua các chức năng Transforms Với Trung tâm chuyển đổi, người dùng có thể kết nối dữ liệu từ hơn 30 đối tác dữ liệu, bao gồm nhiều nguồn công khai (OSINT) và dữ liệu cá nhân của họ.
Maltego Desktop Client cung cấp nhiều phiên bản khác nhau, cho phép tích hợp dữ liệu và tùy chọn triển khai linh hoạt Hệ thống hỗ trợ và các định dạng học tập đa dạng giúp người dùng điều chỉnh Maltego theo nhu cầu cụ thể về khả năng, quyền truy cập dữ liệu và các yêu cầu khác.
Có thể sử dụng Maltego để làm gì?
Maltego là công cụ hữu ích trong giai đoạn thu thập thông tin cho các công việc bảo mật, giúp tiết kiệm thời gian và nâng cao độ chính xác cũng như tính thông minh trong quá trình làm việc.
Maltego cung cấp khả năng tìm kiếm vượt trội, mang lại kết quả thông minh và chính xác hơn Với việc truy cập thông tin "ẩn" là yếu tố quyết định sự thành công của người dùng, Maltego hỗ trợ họ trong việc khám phá và khai thác những thông tin quý giá đó.
Maltego hỗ trợ quá trình tư duy của khách hàng bằng cách thể hiện trực quan các liên kết được kết nối giữa các mục được tìm kiếm
Maltego tập trung vào việc phân tích các mối quan hệ thực tế giữa thông tin công khai trên Internet, bao gồm cả cơ sở hạ tầng Internet và thông tin về cá nhân, tổ chức sở hữu nó Công cụ này giúp xác định mối quan hệ giữa các đối tượng khác nhau, cung cấp cái nhìn sâu sắc về mạng lưới thông tin và kết nối trong thế giới số.
• Nhóm người (mạng xã hội)
• Cơ sở hạ tầng Internet như:
Kết nối giữa các thông tin được thực hiện thông qua kỹ thuật thông minh nguồn mở (OSINT), sử dụng các nguồn như bản ghi DNS, bản ghi whois, công cụ tìm kiếm, mạng xã hội và các API trực tuyến khác để trích xuất dữ liệu meta.
Maltego cung cấp kết quả dưới dạng các bố cục đồ họa đa dạng, giúp phân nhóm thông tin và dễ dàng nhận diện các mối quan hệ Nhờ đó, người dùng có thể phát hiện những kết nối ẩn, ngay cả khi chúng cách nhau ba hoặc bốn độ.
Maltego cung cấp cho các nhà điều tra toàn cầu công cụ để nâng cao tốc độ và độ chính xác trong các cuộc điều tra của họ Với khả năng tích hợp dữ liệu dễ dàng trong một giao diện duy nhất, Maltego hỗ trợ trực quan hóa và hợp tác mạnh mẽ, giúp nhanh chóng thu thập thông tin quan trọng.
Maltego là một công cụ nổi bật, đã thu hút gần một triệu người dùng thương mại và cộng đồng toàn cầu kể từ khi ra mắt vào năm 2008 Công cụ này được ứng dụng rộng rãi trong nhiều lĩnh vực, từ tình báo về mối đe dọa đến điều tra gian lận.
Maltego là công cụ được sử dụng rộng rãi bởi các chuyên gia bảo mật, nhà nghiên cứu, điều tra viên pháp y, nhà báo điều tra và nhà nghiên cứu thị trường Đội ngũ phát triển của Maltego hợp tác với các đối tác học thuật để đào tạo thế hệ điều tra viên tiếp theo.
Lựa chọn phiên bản sử dụng Maltego
Phần mềm Maltego có 3 gói khác nhau:
• Phiên bản cộng đồng Maltego Community dành cho người mới bắt đầu sử dụng: Maltego Community Edition (CE)
• Phiên bản chuyên nghiệp Maltego Pro dành cho các nhà điều tra cá nhân hoặc các nhóm nhỏ:
• Phiên bản doanh nghiệp Maltego Enterprise dành cho nhân viên các doanh nghiệp lớn, các nhóm lớn hơn và Reseller.
Yêu cầu kĩ thuật
Maltego, được phát triển bằng Java, có khả năng hoạt động trên hầu hết các hệ điều hành như Windows 7, 8 và 10, Linux (các bản phân phối khác nhau) và OS X Để tải về Maltego, người dùng cần lưu ý một số chi tiết kỹ thuật quan trọng.
- Cần cài đặt phiên bản 64-bit của Java 8 hoặc 11 thời gian chạy trên máy của mình để sử dụng Maltego
- Java 8 và 11 JRE có sẵn cho hầu hết các hệ điều hành phổ biến và nên ưu tiên sử dụng Oracle JRE thay vì OpenJDK
- Tốc độ truy cập Internet 10Mbps
- Tốc độ truy cập Internet 20Mbps trở lên
- Nên dùng chuột để điều hướng đồ thị Maltego
Khi làm việc với đồ thị lớn, việc sở hữu nhiều bộ nhớ và CPU mạnh mẽ là rất quan trọng Việc thêm kết quả mới và tính toán bố cục đồ thị mới cần khả năng tính toán cao để đảm bảo hiệu suất tốt.
Kết nối Internet nhanh hơn cho phép Transforms chạy trên đồ thị lớn trong thời gian ngắn hơn
- Ứng dụng khách Maltego yêu cầu truy cập Internet để hoạt động đầy đủ
Máy khách cần thực hiện các kết nối gửi đi trên các cổng 80, 443 và 8081 Bên cạnh đó, cổng 5222 là cần thiết để tham gia các đồ thị chia sẻ trên máy chủ Comms công cộng của Paterva.
Ứng dụng khách Maltego có thể yêu cầu kết nối qua các cổng bổ sung khi sử dụng chuyển đổi từ các nhà cung cấp bên thứ ba tại Trung tâm chuyển đổi.
Hướng dẫn sử dụng Maltego
Các bước cấu hình và cài đặt Maltego
1.1 Khởi động Maltego trên Kali Linux: Để khởi động Maltego , từ Application menu của Kali Linux, tìm tới mục 01 –
Information Gathering , sau đó chọn vào Maltego (Hình 1)
Trong trường hợp công cụ không có sẵn, có thể cài đặt bằng cách mở Terminal Emulator của Kali Linux và chạy lệnh: sudo apt install maltego [3]
Màn hình Product Selection hiện lên (Hình 2)
Phiên bản cộng đồng được sử dụng miễn phí và những phiên bản khác được trả phí với nhiều tính năng hơn
Có 2 lựa chọn miễn phí nằm ở dưới cùng là:
Maltego CE (Community Edition) là phiên bản miễn phí cho phép người dùng thu thập và chuyển đổi dữ liệu để tạo ra các biểu đồ thông tin có liên kết với nhau Tuy nhiên, phiên bản này có một số hạn chế về tính năng và các biểu đồ được tạo ra chỉ có thể sử dụng cho mục đích demo, không được áp dụng cho các hoạt động thương mại.
Maltego CaseFile (miễn phí) cho phép người dùng sử dụng mà không mất phí, tuy nhiên, các phép thu thập chuyển đổi dữ liệu (Transforms) không thể chạy và người dùng phải tạo graph thủ công Điểm nổi bật của phiên bản này là cung cấp nhiều loại entities (thực thể) khác nhau của mục tiêu và cho phép sử dụng graph cho mục đích thương mại.
Trong bài báo cáo này thì sẽ chỉ hướng dẫn cách thao tác với Maltego CE (Free)
Do vậy ở bước này chọn Run Maltego CE (Free)
Nếu có vẫn có vấn đề về việc cài đặt, tham khảo tài liệu Maltego tại Website
Support chính thức của Maltego Technologies
1.2 Cấu hình để sử dụng Maltego:
Sau khi Run , cửa sổ Configure Maltego hiện lên
Sau khi đọc và chấp nhận các điều khoản, bạn cần tích vào ô "Accept License Agreement" ở bước 1 Tiếp theo, hãy đăng ký một tài khoản Maltego (nếu bạn chưa có) để có thể đăng nhập và sử dụng Maltego miễn phí trong một khoảng thời gian nhất định.
Hình 5 - Maltego Login Result
Quá trình login thành công thì ta sẽ thấy thông báo về thời hạn sử dụng của API key
Nhấn Next chạy các bước 4, 5 và 6 để hoàn tất quá trình cài đặt.
Bắt đầu cho Maltego
Với các bước đơn giản, việc cài đặt đã hoàn tất (Phiên bản 4.2.19) Ta sẽ đi làm quen để hiểu về nó trước khi sử dụng
Sử dụng Maltego hoàn toàn ngoại tuyến như một công cụ lập bản đồ tư duy để xem ngoại tuyến
Cộng tác với nhóm của người dùng trên cùng một biểu đồ và chia sẻ quyền truy cập trực tiếp vào các tập dữ liệu khác nhau
Gói dữ liệu Maltego là một mô hình đăng ký cho phép các nhà điều tra mua quyền truy cập vào dữ liệu của bên thứ ba, dựa trên mức sử dụng, trực tiếp từ cửa hàng trực tuyến của Maltego.
Desktop Client / Client / Maltego Desktop Client
Phần mềm Maltego trên máy tính để bàn thường được gọi là Máy khách trên Máy tính để bàn, Máy khách hoặc Máy khách Maltego Máy tính để bàn Hiện có các phiên bản Máy tính để bàn như Community, Classic và XL.
Thực thể là thông tin hiển thị dưới dạng nút trên biểu đồ, giúp phân biệt các loại thông tin khác nhau trong Maltego Các đối tượng có thể bao gồm tên DNS, tên người, số điện thoại, và nhiều loại dữ liệu khác.
Maltego Client cung cấp khoảng 20 Đối tượng tiêu chuẩn cho việc điều tra trực tuyến, nhưng người dùng cũng có khả năng tạo ra Đối tượng tùy chỉnh theo nhu cầu riêng của mình.
Chuyển đổi và các loại Thực thể mà chúng truy vấn cần được lưu trữ trên máy chủ mà Maltego Client có thể truy cập
Các mục Hub cho phép người dùng Maltego cài đặt các tổ hợp Transforms,
Maltego's default installation includes a Hub called Standard Transforms, which contains various Transforms, Entities, and Machines developed and maintained by Maltego's developers.
Các mục Hub bổ sung có thể được cài đặt để có được chức năng của bên thứ 3 do cộng đồng xây dựng
Máy móc tương đương với Maltego của macro, cho phép người dùng liên kết nhiều Biến đổi, bộ lọc và hành động để tự động hóa các tác vụ phổ biến Sử dụng máy móc, người dùng có thể thực hiện các chuỗi Transform đã được xác định trước hoặc tự định nghĩa chuỗi Transform của riêng mình, từ đó tự động chạy các truy vấn và tăng tốc quá trình điều tra.
Đối sánh là đơn vị đo lường cho hạn ngạch Chuyển đổi mà khách hàng mua trong gói dữ liệu Kết quả phù hợp được thiết kế riêng cho tích hợp dữ liệu Pipl và không thể chuyển giao sang các tích hợp dữ liệu khác.
Trình kết nối trả phí là một lựa chọn để truy cập dữ liệu trong Maltego, yêu cầu người dùng thực hiện quy trình hai bước để nhận khóa API từ đối tác dữ liệu và quyền truy cập vào mục Hub của Maltego.
Chạy Transforms qua máy chủ công cộng của Maltego hoặc mua một máy chủ riêng để lưu trữ cơ sở hạ tầng
Làm việc với Maltego Standard Transforms để làm phong phú thêm các cuộc điều tra của ta với dữ liệu OSINT
Transform là một đoạn mã giúp tìm kiếm thông tin liên quan đến Entity trên biểu đồ, cho phép truy vấn API hoặc cơ sở dữ liệu để hiển thị thông tin cần thiết Ý tưởng chính của Transform là "chuyển đổi" một loại thông tin này thành một loại thông tin khác, ví dụ như chuyển đổi trang web "www.maltego.com" thành địa chỉ IP.
Maltego, theo mặc định, cung cấp các Transforms cho phép truy vấn thông tin từ nhiều nguồn dữ liệu khác nhau, bao gồm máy chủ DNS, công cụ tìm kiếm, mạng xã hội và thông tin WHOIS.
Truy cập dữ liệu miễn phí và trả phí từ nhiều nguồn công khai (OSINT) cũng như hơn 30 đối tác
Khi người dùng thực hiện một Transform trên một Entity đầu vào, mỗi lần thực hiện được coi là một lần chạy Transform, bất kể số lượng kết quả mà nó tạo ra.
Trang chủ của Maltego có phần Start Page ở bên trái, nơi cung cấp liên kết đến các tài khoản mạng xã hội của nhóm phát triển, thông báo quan trọng, thông báo đào tạo và tài nguyên trực tuyến miễn phí Maltego Technologies chủ yếu sử dụng Twitter để thông báo về các tính năng mới và YouTube để đăng tải video hướng dẫn Tất cả các thông báo quan trọng sẽ được cập nhật trực tiếp trên trang này.
Hình 6 – Maltego Start Page (v4.2.19) Ở phía bên phải của trang chủ là Transform Hub
Các Transform Hub cho phép người dùng cài đặt các Transforms từ các nhà cung cấp bên thứ ba, cũng như các Transforms bổ sung do Maltego Technologies và Paterva cung cấp.
2.3 Menu ứng dụng (Applications menu) Đáng chú ý là các nút ở góc trên bên trái màn hình Hình 5 được mô tả ở Hình 6
Hình 7 – Thanh công cụ truy cập nhanh
Nút ở góc trên bên trái của Maltego Client, được gọi là nút Ứng dụng hoặc Biểu tượng quả cầu, cho phép người dùng mở Menu ứng dụng (Hình 7).
Hình 8 – Menu ứng dụng
In the Tools section of the application menu, you can click on "Check for Updates" to open a guide that allows you to check for available updates to download.
Thao tác tạo đồ thị Maltego
Có ba phương pháp để tạo một biểu đồ trống mới trong Maltego, tương tự như việc khởi tạo tài liệu mới trong Word hoặc trang tính mới trên Excel.
1: Nhấp vào nút dấu plus (+) ở góc trên cùng bên trái của Maltego
2: Nhấp vào nút Application và sau đó nhấp vào New
3: Sử dụng phím tắt Ctrl + T
Hình 10 – Tạo biểu đồ trống
Bố cục 1 biểu đồ trống sẽ như sau:
Hình 11 – Bố cục của 1 biểu đồ trống
3.2 Thêm một thực thể (Entity) vào biểu đồ Để thêm Đối tượng mới vào biểu đồ của ta, hãy nhấp và giữ vào Đối tượng mong muốn và kéo đối tượng đó vào vùng biểu đồ như được mô tả bên dưới:
Hình 12 – Thêm một thực thể mới 3.3 Các Tab làm việc với biểu đồ:
Hình 14 - Import | Export Tab
Sử dụng Maltego
Chọn mục tiêu ở tùy chọn ở Entity Palette
Hình 22 - Thiết lập mục tiêu
Chọn mục tiêu và chọn xem Detail View (bên phải màn hình Hình 10) để cài đặt cho mục tiêu (ở đây www.paterva.com là website mặc định của Maltego)
4.2 Các tùy chọn trong All Transforms:
Sau khi double click vào chỗ website, ta sẽ có các tùy chọn như hình sau:
Hình 24 - Context Menu để Run Transform
Nhấp vào biểu tượng mũi tên đôi ( >> ) tương ứng với từng mục trong Hub để chạy tất cả các Transform có sẵn cho Entity đã chọn Để lựa chọn riêng Transform muốn chạy, hãy nhấn vào biểu tượng +.
Hình 25 - Run Transform - Chi tiết 4.3 Chạy một số Transform:
Hình 27 - Dò tìm Ip Address
Demo - Sử dụng Maltego để điều tra mật khẩu người dùng
Xác định các địa chỉ email chứa lỗ hổng bằng Maltego
Tại trang chủ có thể tìm thấy Transform Have I Been Pwned được cung cấp miễn phí trong Maltego, vì vậy ta chỉ cần cài đặt nó
Sau khi cài đặt xong, bước tiếp theo là tiến hành điều tra bằng cách tạo một biểu đồ mới Để thực hiện điều này, hãy nhấp vào biểu tượng tài liệu ở góc trên cùng bên trái.
Sau khi hoàn thành việc tạo tài liệu, bạn có thể sử dụng 'Bảng thực thể' ở góc trái để thêm các thực thể khác nhau như miền, thiết bị, Nhóm, công ty, và nhiều hơn nữa vào canvas của mình Chỉ cần kéo và thả các mục mà bạn muốn điều tra.
Ta sẽ bắt đầu từ việc thêm một điểm duy nhất, tức là Tên miền
Ta phải chỉ định Miền ta muốn nhắm mục tiêu Trong trường hợp của này, miền đích là microsoft.com
Right-click on the domain name and enter your email to view various paid and free options We will opt for a free address, specifically "Email addresses in PGP key servers."
Và ta đã có một loạt các địa chỉ email
Ta có thể lấy thêm địa chỉ email từ pastebin, một ứng dụng web phổ biến để lưu trữ và chia sẻ văn bản
Chọn tất cả các địa chỉ email và nhấp chuột phải vào nó, tìm tới “Get all pastes featuring the email address”, Chọn tùy chọn này
Ta sẽ thấy một loạt các thực thể trong biểu đồ của mình có tên là “Pastebin” Nhấp vào một trong những Pastebin đó để lấy URL
Khi truy cập vào URL, bạn sẽ được chuyển hướng đến trang Pastebin, nơi bạn có thể dễ dàng tìm thấy các địa chỉ email của miền mà bạn mong muốn chỉ bằng cách thực hiện tìm kiếm.
Khi tìm thấy một địa chỉ email của microsoft.com, sao chép nó từ đây và dán nó vào biểu đồ Maltego
The Harvester là một công cụ hữu ích để thu thập thông tin như tài khoản email, tên miền phụ, máy chủ ảo, cổng/biểu ngữ mở và tên nhân viên từ nhiều nguồn công khai khác nhau, bao gồm công cụ tìm kiếm và máy chủ khóa PGP.
Bằng cách này, ta có thể thu thập nhiều địa chỉ email nhất có thể và có được bộ dữ liệu mong muốn để nhắm mục tiêu
1.2 Tìm kiếm tài khoản bị xâm phạm
Sau khi nhận bộ dữ liệu, chúng ta có khả năng tìm kiếm các địa chỉ email bị vi phạm Để thực hiện điều này, hãy chọn tất cả các địa chỉ từ danh sách thực thể và nhấp chuột phải vào chúng.
25 nhập “vi phạm” ở đó ta sẽ nhận được tùy chọn “Get all breaches of an email address”, chọn tùy chọn đó.
Quá trình chạy biến đổi sẽ mất một khoảng thời gian và khi hoàn tất, các kết quả khác nhau sẽ được hiển thị Địa chỉ email roberdan@microsft.com đã bị vi phạm do vi phạm dữ liệu từ Dailymotion, cũng như từ sharethis.com và myfitnesspal.com.
Nhấp chuột phải vào một vi phạm mà ta muốn kiểm tra, tức là dailymotion.com Nhập “vi phạm” và chọn một tùy chọn “Enrich breached domain”
Nó cho thấy người dùng đã đăng ký bằng tài khoản công ty của mình trên
Dailymotion và do đó mất địa chỉ email, mật khẩu và tên người dùng của mình, như được hiển thị bên dưới
Ngoài ra, nó bao gồm một mô tả ngắn về những gì đã xảy ra với vi phạm cơ sở dữ liệu
Hơn nữa, chúng ta có thể thấy các địa chỉ email chưa bị xâm phạm
Sự chuyển đổi này chỉ ra dữ liệu bị mất từ các cá nhân Mặc dù việc trích xuất thông tin xác thực thực tế khá hiếm, nhưng chúng ta có thể phát hiện mật khẩu bị vi phạm nếu chúng xuất hiện dưới dạng văn bản thuần túy trong thùng chứa Pastebin.
Khi ta đã nhắm mục tiêu email, việc tìm các bãi chứa Pastebin liên quan đến email đó sẽ dễ dàng hơn nhiều với sự trợ giúp của Maltego
Chúng ta có thể bẻ khóa mật khẩu đã được băm bằng phương pháp Brute-force Nếu thành công trong việc chuyển đổi mật khẩu đó thành văn bản rõ ràng, chúng ta có khả năng sử dụng nó trên các nền tảng khác nếu người dùng đó sử dụng cùng một mật khẩu.
Ngoài ra, ta có thể đoán từ mật khẩu cũ rằng chủ sở hữu tài khoản đã tạo mật khẩu mới của họ như thế nào.
Password Spraying
Kẻ tấn công bắt đầu bằng việc thu thập danh sách tên người dùng nhằm xâm nhập vào mục tiêu Họ có thể tiến hành điều tra bằng cách tìm kiếm thông tin rò rỉ hoặc kiểm tra các trang web đen để phát hiện bất kỳ dữ liệu nào liên quan đến mục tiêu.
Nếu không thu thập được thông tin qua các phương tiện thông thường, kẻ tấn công có thể tiến hành tìm kiếm chủ động hơn nhằm vào mục tiêu Họ có khả năng sử dụng nhiều phương pháp khác nhau để thu thập dữ liệu cần thiết.
Maltego là công cụ phân tích dữ liệu mạnh mẽ, giúp tổng hợp thông tin từ web và tập trung vào việc khám phá các mối quan hệ thực tế giữa các dữ liệu khác nhau.
Maltego là một công cụ mạnh mẽ giúp kẻ tấn công thu thập thông tin về mục tiêu bằng cách xác định các yếu tố liên quan như nhân viên, máy chủ và dịch vụ Nó tìm kiếm dữ liệu từ nhiều nguồn khác nhau, bao gồm cả mạng xã hội, để cung cấp cái nhìn tổng quan về mục tiêu.
Kẻ tấn công thường nhắm đến mục tiêu là nhân viên, vì vậy họ cố gắng tìm kiếm địa chỉ email của họ Nếu không tìm được, họ sẽ ngoại suy từ những địa chỉ đã biết hoặc sử dụng tên người dùng thực để xác định thông tin Đồng thời, kẻ tấn công có thể xóa bỏ những thông tin khác ra khỏi phạm vi tiếp cận của mình.
Giả sử họ chỉ tìm kiếm địa chỉ email từ nhân viên của mục tiêu
Những kẻ tấn công có thể thu thập tài khoản Twitter, hồ sơ Facebook và các tweet đã gửi, tất cả đều là thông tin quý giá cho kế hoạch tấn công hiện tại hoặc cho các cuộc tấn công trong tương lai.
Trong một bức tranh tổng thể, Giám đốc điều hành Marcus Conrad nổi bật Ở góc độ chi tiết hơn, kẻ tấn công có thể tìm kiếm các email liên quan đến "Marcus" hoặc "Conrad", đặc biệt là những địa chỉ đơn giản như "marcus @" Đây là thông tin nhắm mục tiêu có giá trị cao cho những ai muốn xâm nhập vào tài khoản hoặc thực hiện các cuộc tấn công có chủ đích.
Mặc dù vậy, kẻ tấn công đã thu thập được một số tài khoản trong quá trình này, điều này làm gia tăng khả năng thực hiện các cuộc tấn công Password Spraying.
