Có nhiều công cụ OSINT trên mạng Internet hiện tại như Reconng , Shodan , theHarvester… giúp tìm kiếm thông tin trên mạng Internet một cách dễ dàng . Một trong những công cụ đó là Maltego , được phát triển bởi Paterva , một công ty có trụ sở tại Pretoria , Nam Phi . Với bài tiểu luận với đề tài “Tìm hiểu về Maltego” , chúng ta sẽ tìm hiểu rõ về công cụ này và các ứng dụng của nó để hiểu rõ hơn về OSINT và cách sử dụng Maltego cho các trường hợp khác nhau.
Tìm hiểu cơng cụ Maltego 1|Page Mục lục Table of Contents LỜI MỞ ĐẦU Với phát triển ngày nhanh chóng Internet , tất thứ thay đổi , từ giáo dục , chăm sóc sức khỏe , tài , kinh doanh ,… Mạng Internet định hình lại cách người giao tiếp với cách mạng hóa cách cơng ty kinh doanh với Giờ , phần lớn giao tiếp giới thực Mạng Internet hay cịn gọi Khơng gian mạng 2|Page Theo số liệu Cybersecurity Ventures , đến năm 2030 , 90% dân số giới (từ tuổi trở nên) tham gia Internet , tức gần 7,5 tỉ người Mọi người sử dụng Internet để mua bán hàng hóa dịch vụ , giải trí , tương tác với người khác , chia sẻ thông tin tài liệu thông qua mạng xã hội Facebook , Twitter , Reddit … để kết nối với bạn bè người thân mà không chịu cản trở mặt địa lý Nhờ vào phát triển tảng mạng xã hôi , khối lượng liệu khổng lồ tạo ngày Những liệu bao gồm thông tin người dùng cá nhân công ty , doanh nghiệp Không gian mạng Việc khai thác vào lượng liệu cách đắn mở nhiều hội cho tổ chức doanh nghiệp hoạt động hiệu tăng lợi nhuận nhiều Open Source Intelligence (OSINT) tới thơng tin tìm thấy cách công khai mà không vi phạm đến luật quyền luật riêng tư Như thông tin cá nhân, post mạng xã hội , thư mục website không bảo mật thơng tin tìm Internet… Có nhiều cơng cụ OSINT mạng Internet Recon-ng , Shodan , theHarvester… giúp tìm kiếm thông tin mạng Internet cách dễ dàng Một cơng cụ Maltego , phát triển Paterva , cơng ty có trụ sở Pretoria , Nam Phi Với tiểu luận với đề tài “Tìm hiểu Maltego” , tìm hiểu rõ cơng cụ ứng dụng để hiểu rõ OSINT cách sử dụng Maltego cho trường hợp khác Danh mục hình vẽ 3|Page CHƯƠNG : TÌM HIỂU VỀ MALTEGO Giới thiệu Maltego Khái niệm - Maltego giải pháp phần mềm sử dụng cho lĩnh vực tình báo nguồn mở (Open Source INTelligence – OSINT) với nhiệm vụ điều tra số (investigative tasks) - Maltego phát triển Paterva (Pretoria, Nam Phi) Maltego cung cấp thư viện phép biến đổi để khám phá liệu từ nguồn mở, sau hiển thị thơng tin dạng biểu đồ (graphical link analysis tool) 4|Page - - - Giải pháp đặc biệt phù hợp cho việc phân tích liên kết khai thác liệu Kể từ năm 2018, nhóm Maltego Technologies có trụ sở Munich, Đức chịu trách nhiệm tất hoạt động hướng tới khách hàng toàn cầu Maltego có khả tìm kiếm, phân tích, truy vết thông tin liên quan yếu tố đầu vào, từ dựng lên sơ đồ quan hệ trực quan (data integration) thông tin Maltego thực hệ thống mạnh mẽ việc điều tra thông tin chi tiết liên quan tới đối tượng cụ thể Giải pháp hỗ trợ triển khai dạng cloud (SaaS) on-prem (ASIC Technologies, 2021) Các tính Maltego • • • Hỗ trợ tìm kiếm, phân tích thơng tin mạng theo tiêu chí: Tên, Số điện thoại, Địa email, Tên công ty, Websites, Tài khoản mạng xã hội Facebook, Instagram, LinkedIn, Twitter, Skype… Thu thập thông tin sở hạ tầng internet gồm: Domains, DNS Names, Địa Giải pháp hỗ trợ tích hợp với nguồn thơng tin, liệu hãng thứ Social Links, INTEL471, SHODAN, … để mở rộng nguồn tìm kiếm kết quả: • Nguồn messengers: Telegram, Signal, • Nguồn Darknet: Hơn 30 forums marketplaces mà khơng có ủy quyền • Nguồn Corporate: CompaniesHouse, Companies OC, Google Companies, OCCRP, Offshores • Cryptocurrency: Phân tích tảng Ethereum, Bitcoinwhoswho, TokenView • Hỗ trợ số phương thức tìm kiếm nâng cao mạng xã hội: Tìm kiếm theo hình ảnh khn mặt (Face search), tìm kiếm theo tên, tìm kiếm Photos/Videos/Stories theo All/Liked/Comment/Tagged (Facebook), tìm kiếm theo ngày, tìm kiếm mối quan hệ/kết nối Facebook (mutual friends, groups, places, pages liked…), tìm kiếm theo vị trí (search by GEO) Nền tảng / Hệ điều hành Maltego cross-platform Framework , sử dụng hầu hết hệ điều hành Mac , Unix , Linux hay Windows Maltego thường 5|Page sử dụng hệ điều hành Kali Linux cài đặt sẵn hệ điều hành Lịch sử hình thành Maltego Về cơng ty : - Paterva(Pty) Ltd thành lập vào năm 2007 , Pretoria , Nam Phi Các thành viên sáng lập bao gồm Roelof Temmingh , Andrew MacPherson nhóm phát triển dẫn đầu Chris Bohme - Bởi có nguồn gốc từ cộng đồng Infosec , Maltego giới thiệu với công chúng qua việc tham gia hội thảo bảo mật Blackhat Defcon - Hiện , thành viên sáng lập Paterva rời công ty , Maltego phát triển nhóm phát triển dẫn đầu Sonja Goosen ( Một thành viên nhóm Maltego từ lúc thành lập) Về Maltego : - Ý tưởng Maltego hình thành vào năm 2007 , với tầm nhìn “ Để tạo Framework tồn diện cho việc thu thập thông tin cách gắn kết thực thể khác mạng lưới qua đồ thị sinh động” - Đồng thời , ý tưởng lõi Maltego “ Thiết kế phần mềm mà tiếp cận với lượng lớn người dùng , dùng vui tận dụng lượng thông tin nguồn mở (OSINT) ngày lớn ” - Maltego viết Ngôn ngữ Java , bắt đầu thiết kế phát triển vào Năm 2006 Chris Bohme - Năm 2008 , Maltego mặt Maltego phiên giao diện đồ họa cho người dùng máy tính - Năm 2017 , Maltego có 500.000 người dùng - Năm 2018 , Maltego Technologies , có trụ sở Munich , Cộng hòa Đức tiến hành chịu trách nhiệm cho tồn việc chăm sóc khách hàng tồn cầu 6|Page CHƯƠNG : HƯỚNG DẪN CÀI ĐẶT MALTEGO Đầu tiên , Ta tải công cụ từ trang web Maltego : https://www.maltego.com/downloads/ Yêu cầu phần cứng Maltego : - Có Java trở lên Tối thiểu 4GB Ram , 16GB hợp lý Nên chạy chip đa nhân , đa luồng 4GB dung lượng nhớ 7|Page Yêu cầu mạng - Cần có kết nối Internet để hoạt động trơn tru Cần sử dụng port 80 , 443 , 8081 để kết nối Cài đặt Đối với Windows Hình : Link Download Maltego cho Windows - Nếu máy tính đặt khơng có Java hay Java 11 máy , ta nên tải file cài đặt với file cài Java Sau tải xong , ta tiến hành cài đặt Maltego theo bước hướng dẫn phần mềm : 8|Page Hình : Trang mở đầu cài đặt Maltego Đối với Linux : Hình : Link Download Maltego cho Linux - Ta tải Maltego dạng file DEB , RPM ,ZIP 9|Page - Đối với file DEB : ta cài đặt đồ họa sử dụng lệnh sau: # cd ~/Downloads/Maltego/ #(assuming that you’ve downloaded it here) # dpkg –i .deb Đối với file RPM : tương tự DEB # cd ~/Downloads/Maltego/ #(assuming that you’ve downloaded Maltego here) # rpm –i .rpm Đối với file ZIP : ta giải nén đến thư mục muốn cài đặt chạy Maltego từ thư mục bin Đối với Mac: Hình : Link Download cho Mac - Ta tải file dmg cài đặt giống cài đặt Windows : Hình : Trang mở đầu cài đặt Maltego cho Mac 10 | P a g e Hình 35 : Kết luận chiều dòng tiền kẻ lừa đảo Bài lab : Sử dụng Maltego để tìm kiếm thơng tin mạng lưới máy tính tổ chức 34 | P a g e - - Kịch Demo : Trong lab , ta phải xác định được AS(Autonomous System) Number hệ thống , từ xác định vị trí chủ đăng ký hệ thống Mục tiêu lab Hệ thống bán hàng trực tuyến Tiki Mặc dù thơng tin dễ tìm kiếm với Maltego , ta dễ dàng phương hướng số lượng Entity tăng lên nhiều Để dễ dàng tìm hiểu , em sử dụng theo phương thức suy luận (Methodology) Maltego : Hình 36 : Phương pháp suy luận Maltego 35 | P a g e Đầu tiên , ta tìm Top-Level Domain giống với mục tiêu , sau tìm trang web mà tổ chức host : Hình 37 : Kết Top-Level Domain Tiếp theo , ta tìm kiếm thơng tin DNS có liên quan tới Domain “tiki.vn” , thông tin bao gồm ghi MX (Mail Server) , NS(Name Server) A (Address) Hình 38 : Kết DNS 36 | P a g e Ta tiến hành chuyển đổi ghi DNS sang địa IP cách chạy Transform “To IP Address [DNS] Transform” Hình 39 : Kết IP Hình 40 : Kết IP Sau ta truy tìm xem địa IP thuộc khối NetBlock Có Transform để xác định Netblock : - To Netblocks [Using natural boundaries] : Tự động chuyển đổi thành Netblock người dùng ghi vào To Netblocks [Using routing info] : Tìm kiếm thơng tin cách nhìn bảng Routing Tables To Netblocks [Using WHOIS info] : Tìm kiếm thơng tin cách hỏi Registars Kết sau chạy Transform “To Netblocks [Using WHOIS info]” : 37 | P a g e Hình 41 : Kết Netblock Hình 42 : Kết Netblock Cuối , ta chạy Transform “To AS Number Transform” netblock ta có , kết : Hình 43 : Kết AS 38 | P a g e Hình 44 : Kết AS Từ , ta biết AS Number đáng quan tâm : 15169 , 7643 - ASN 15169 có địa đăng ký Mountain View , California , USA quản lý Google LLC ASN 7643 có địa đăng ký Hà Nội , Việt Nam quản lý VNPT-AS-VN Từ , ta kết luận Tiki sử dụng hệ thống Server Google để host hệ thống , đặt server VNPT để thu thập thông tin phân tích người dùng Bài lab : Sử dụng Maltego để tìm kiếm thơng tin (chứng trỉ) bị rò rỉ nhân viên tổ chức - Kịch Demo : Trong lab , ta phải xác định nhân viên tòa soạn báo The Guardian (Anh Quốc) bị rị rỉ thơng tin đăng nhập Các thơng tin bao gồm : o Thời gian bị rò rỉ o Trang web bị rị rỉ o Các thơng tin bị lộ nhân viên (Nếu có) Ta tiến hành nhập Entity Website Với giá trị : www.theguardian.com tiến hành tìm Domain (Tên miền) trang web Sau đó, thực chạy Transform Entity Domain để tìm email Có nhiều loại Transform WHOIS , PGP , Search Engine 39 | P a g e Sau chạy “To Email Addresses [PGP]” , kết cho : Hình 45 : Kết Tìm Email (Do em sử dụng phiên CE , nên 12 kết quả) Ta chọn 12 email , chạy qua Transform Pastebin Haveibeenpwned để xác định email xuất trang Pastebin Do Pastebin nơi chuyên dùng hacker để công bố liệu bị rò rỉ , nên khả cao ta tìm thêm nhiều email khác Kết : Ta trang Pastebin : http://pastebin.com/8kwXnUXe 40 | P a g e Hình 46 : Kết tìm Pastebin có địa chi Email Một số email Trang Pastebin : 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 aidan.macguill@theguardian.com akash.askoolum@theguardian.com alan.rusbridger@theguardian.com alex.dufournet@theguardian.com alex.hern@theguardian.com alex.ware@theguardian.com alice.ross@theguardian.com andi.elsner@theguardian.com artur.gulowaty@theguardian.com bill.shepherd@theguardian.com bryan.graham@theguardian.com charlie.phillips@theguardian.com chris.whitworth@theguardian.com christopher.lloyd@theguardian.com dan.roberts@theguardian.com danny.yadron@theguardian.com dave.boxall@theguardian.com david.blishen@theguardian.com david.furey@theguardian.com david.pegg@theguardian.com diego.vazquez@theguardian.com dominic.rushe@theguardian.com ed.pilkington@theguardian.com ewen.macaskill@theguardian.com fabio.crisci@theguardian.com francis.carr@theguardian.com graham.tackley@theguardian.com guardian.letters@theguardian.com harold.frayman@theguardian.com 41 | P a g e Ta kết hợp danh sách email vào Maltego , để tăng khả thành công Tiếp theo , Ta chạy Transform Breach HaveIBeenpwned để xác định danh sách email bị rò rỉ bị rò trang web Có số email khơng bị rị rỉ : Hình 47 : Các Email khơng bị rị rỉ Nhưng có nhiều email bị rị rỉ : Hình 48 : Các Email bị rỏ rỉ Hình 49 : Các Email bị rỏ rỉ 42 | P a g e Hình 50 : Các Email bị rỏ rỉ Ta tìm hiểu xem ứng dụng Apollo.io , Gravatar Myfitnessfal bị rị rỉ thơng tin Hình 51 : Các thơng tin bị rị rỉ Apollo 43 | P a g e Hình 52 : Các thơng tin bị rị rỉ MyFitnessPal Gravatar Từ , ta biết nhân viên bị rị rỉ thơng tin trang web , ứng dụng Ta sâu , cách tìm tải sở liệu rò rỉ , từ kiểm sốt (hoặc tìm hiểu) chứng đăng nhập nhân viên The Guardian Ví dụ với MyFitnessPal 44 | P a g e CHƯƠNG : SO SÁNH , ĐÁNH GIÁ , KẾT LUẬN So sánh : Số Modul e Maltego 149 Transf orm Reconng 75 Discove r 27 Chi tiết Module Kiểu đầu OS Chú thích GUI ? Relationships between people and organizations, websites, network infrastructure, physical infrastructure, keywords, documents (googledorking ), DNS, e-mail lists, ARIN, cache_snoop, interesting_file s, command_inje ctor… ARIN, dnsrecon, csv, html, xls, xlsx, + Linux Mac Windows Grab OSINT data related to e-mails, DNS, employees, etc and visualize their relationships Y csv, html, json, xlsx, xml Linux Most in-depth recon for web, API's to a long list of sites N html Linux Quick overall OSINT N 45 | P a g e goofile, googmail, goohost, theHarvester, Metasploit… Dmitry Whois; Server uptime; Fingerprinting ;… Text Linux assessment and employee list Good for auto Googledorking Easy to use Grab whois and netcraft information, along with searches for possible subdomains and e-mail addresses Also scans N Đánh giá : + Ưu điểm : • • • • • • Maltego giúp đồ thị hóa mối quan hệ Entity Có thể phân tích lượng lớn liệu Dễ dàng kết hợp / xuất nhập liệu từ bên vào để xử lý Có thể diễn tả 20 trang thơng tin bảng đồ thị Kết trả Maltego chi tiết Kết nối với nhiều sở liệu OSINT + Nhược điểm • • • • • Rất dễ bị choáng ngợp số lượng Entity lớn mà Transform tạo Chạy chậm có nhiều liệu / Entity Dễ phương hướng không cẩn thận liệu đầu vào Phiên CE bị giới hạn nhiều chức hay Giá thành cho phiên Pro cao , 999 USD/năm 46 | P a g e Kết luận Bài báo cáo trình bày cách thức cài đặt , sử dụng ví dụ thực tế khả thu thập, xử lý trình bày thơng tin Maltego Bài báo cáo so sánh nêu lên ưu điểm nhược điểm công cụ Maltego với vài công cụ OSINT khác Mặc dù phiên CE có nhiều hạn chế chức , Maltego CE giúp ta hiểu đưa định hợp lý dựa thông tin thu thập Trong thời buổi , việc thu thập, xử lý hiểu lượng liệu khổng lồ Internet lợi to lớn Maltego nhiều quan an ninh , tình báo điều tra viên sử dụng đánh giá cao, cho thấy độ hiệu Maltego việc thu thập xử lý liệu 47 | P a g e Danh sách tham khảo ASIC Technologies (2021, 29) Maltego – Giải pháp trinh sát nguồn mở Internet Retrieved from ASIC Technologies: https://asic.vn/2021/03/29/maltego-giai-phap-trinh-sat-nguon-mo-treninternet/ Maltego (2019, 25) See you on maltego.com Retrieved from Maltego Blogspot: https://maltego.blogspot.com/2019/09/see-you-on-maltegocom.html PATERVA (n.d.) PATERVA (Pty) Ltd Retrieved from PATERVA Company Site: https://www.paterva.com/about/company.php 48 | P a g e ... vào, Maltego yêu cầu chọn phiên phù hợp với nhu cầu , gồm có phiên : Maltego One , Maltego XL , Maltego Classic , Maltego CE Maltego CaseFile Hình : Trang chọn Phiên Maltego - Đối với Maltego. .. xử lý trình bày thông tin Maltego Bài báo cáo so sánh nêu lên ưu điểm nhược điểm công cụ Maltego với vài công cụ OSINT khác Mặc dù phiên CE có nhiều hạn chế chức , Maltego CE giúp ta hiểu đưa... hiểu Maltego? ?? , tìm hiểu rõ cơng cụ ứng dụng để hiểu rõ OSINT cách sử dụng Maltego cho trường hợp khác Danh mục hình vẽ 3|Page CHƯƠNG : TÌM HIỂU VỀ MALTEGO Giới thiệu Maltego Khái niệm - Maltego