Ця сторінка доступна рідною мовою. Перейти на українську

Анализ и визуализация информации из открытых источников с помощью Maltego

Реклама

Журналистов, частных детективов и правоохранительные службы объединяет общая цель: поиск и подтверждение совокупности фактов, в том числе в открытых источниках. Чем больше фактов и связей между объектами расследования - тем чаще возникает потребность систематизировать информацию в виде схем. Maltego - инструмент анализа и визуализации связей, библиотека трансформов для сбора информации из открытых источников (соцсети, публичные реестры, записи DNS, Dark Web).

Maltego, выполняя трансформы, строит граф. Иными словами, собирая данные из открытых источников, строит карту расследования. Чтобы понять, что такое трансформы и графы, нужно подробнее рассмотреть основополагающие понятия Maltego:

Объекты (entities) - Person (человек), Company (компания), Phone number (телефон), Domain (домен), DNS name (имя DNS-сервера), Technology (веб-технология, например, Google Ads). Размещаются в рабочей области в виде пиктограмм.

Связи (links) между объектами (например, человеку соответствует номер телефона, домену - DNS-сервер) устанавливаются вручную либо автоматически (после запуска трансформов).

Граф (graph) - визуальная интерпретация объектов и связей между ними. Похож на карту расследования в криминальных драмах (а если уменьшить масштаб - на структуру молекулы).

Трансформы (transforms) - процедуры, которые извлекают информацию из открытых источников, связанную с объектом, расширяя граф. Так, если объект - Website, то трансформ “To IP Address” находит IP-адрес сайта, создает новый объект IPv4 Address и новую связь между сайтом и IP-адресом. Если объект - Domain, трансформ “To Entities from WHOIS” находит информацию о регистранте либо регистраторе в WHOIS-каталоге, создает объекты Company, Person, Email Address, Phone Number, Location и их связи с объектом Domain. Чем-то похоже на распутывание клубка Ариадны, только наоборот - идем глубже в лабиринт.

Рассмотрим стандартные трансформы Maltego в действии на примерах исследования сетевой инфраструктуры, криптовалютных транзакций; поиска веб-технологий и сайтов, использующих единый tracking ID веб-аналитики:

Для relay-серверов ЦРУ используем трансформ “To IP address”. Для полученных IP-адресов используем трансформ “To Netblock”. Вывод: relay-серверы ЦРУ принадлежат одному блоку IP-адресов.

Для доменов “Планеты Кино” и кинотеатра “Жовтень” используем трансформ “To E-mail address [From whois info]”: в whois-каталоге доменов указан один и тот же контактный E-mail - info@planeta-kino.ua

Отображение входящих и исходящих транзакций bitcoin-кошелька Orange-Sky, используемого “для помощи в развитии свободы слова” (компания распространяет черный PR через сеть новостных источников и групп в соцсетях). Трансформы “To Inbound/Outbound Transactions” ищут входящие и исходящие транзакции кошелька. Трансформ “To Details” находит хэш, баланс счета, количество и суммы транзакций - входящих и исходящих.

Трансформы сервиса “Have I Been Pwned” проверяют e-mail на предмет утечки паролей и username. Старый Gmail-аккаунт нашелся в шести базах с утечками.

Что связывает музыкальный магазин JAM, жилой комплекс “Палермо” и ресторан Pa-si-ju в Днепре? Единый код Google Analytics, используемый подрядчиком - интернет-агентством Digital media. Трансформ “To Relationships” ищет трекеры веб-аналитики и IP-адрес, а трансформ “To Server Technologies” - веб-технологии, используемые на сайте.

Сеть сайтов пророссийской пропаганды, связанных трекерами Google Analytics. Расследование Global Voices в 2015 году показало, что за ними стоит сотрудник прокремлёвской фабрики троллей Никита Подгорный.

Другие примеры использования трансформов Maltego:

- Отмывание денег и мошенничество на рынке криптовалюты. Трансформы CipherTrace отслеживают адреса и транзакции в категориях риска: черные рынки, ransomware, gambling, криптовалютные миксеры.

- Фишинг, malware, спам-кампании. Трансформы VirusTotal ищут домены, связанные с вредоносными, фишинговыми кампаниями, рассылкой спама.

- Дезинформация и пропаганда в виде графических изображений. Трансформы TinEye (обратный поиск изображений) находят сообщества в соцсетях и сайты, которые распространяют фейковые новости и пропаганду в виде графического контента (фото, видео, мемы).

Дополнительные функции Maltego:

- Коллаборация (Collaboration): функция одновременного доступа к графу нескольких членов команды. Аналог Google Docs для расследований. Тимлид в ресерч-компании или начальник управления уголовного розыска наблюдают за ходом расследования в реальном времени, оставляют комментарии и прикрепляют вложения.

- Создание кастомных объектов и трансформов. Рассмотрим пример внутренней угрозы в торговых компаниях: воровство на складе и дальнейшая продажа товаров на маркетплейсах. Поиск таких случаев осуществляется с помощью Maltego: создаем собственные объекты “Product” (Товар), “Seller“ (Продавец) и трансформы для поиска объявлений, продавцов и локаций.

Maltego - система поиска и управления доказательствами, задача которой - визуально интерпретировать взаимосвязи. Следователям, ресерчерам, журналистам и правоохранительным органам Maltego помогает ориентироваться в большом количестве зацепок и подозрений, распутывать сложные взаимосвязи и находить ключевые блоки цифровых доказательств для судебного преследования.

*В статье рассмотрена версия Maltego Community Edition 4.2 (Free)

Платформы: Windows, Linux, Mac

Оставьте комментарий
Войдите чтобы оставить комментарий
Войти

Похожие новости