maltego para todos · para cualquier otro sistema operativo que no incluya maltego ce por defecto,...

Guía Maltego Edición especial Detectivia

ANTONI COBOS 1

Edición especial

MALTEGO para todos


ANTONI COBOS 2

Prólogo Estamos en una época en la que hay tanta información que encontrar

aquello que buscamos es todo un reto, ergo se necesitan herramientas,

métodos y profesionales que nos ayuden con esa labor.

Con esta guía queremos facilitarle el aprendizaje de una de las herramientas

más conocidas en el análisis y obtención de la información y, además,

queremos hacerlo de la mano de Detectivia, una empresa referente en este

campo con un gran potencial.

Esperamos que, durante la lectura, pueda aprender tanto como lo he hecho

yo al escribir y que al finalizar sea usted capaz de utilizar Maltego como un

profesional.


ANTONI COBOS 3

Contenido Maltego ...................................................................................................... 4

¿Qué es Maltego? .................................................................................. 4

Maltego Classic ................................................................................... 4

Maltego XL ......................................................................................... 5

Maltego CE ......................................................................................... 5

Instalación de Maltego CE ...................................................................... 7

Primeros pasos con Maltego CE ............................................................. 8

Módulos ........................................................................................... 10

Nuestro primer grafo ........................................................................ 15

Nuestra primera transformada ......................................................... 17

Guardar resultados ........................................................................... 19

Características avanzadas ..................................................................... 20

Grafo compartido ............................................................................. 20

Gestionar vista ................................................................................. 21

Creando nuestros propios tipos ........................................................ 22

Ejecutando pseudoscripts ................................................................. 29


ANTONI COBOS 4

Maltego ¿Qué es Maltego? Maltego es una suite de seguridad desarrollada por Paterva enfocada a la

explotación de técnicas OSINT de forma activa, que nos permite analizar

personas, dominios, cuentas de Twitter, metadatos, etc. Todo ello

representado mediante grafos para facilitarnos la tarea de generar

inteligencia.

Actualmente contamos con 3 versiones de clientes:

• Maltego Classic

• Maltego XL

• Maltego CE

Y también con 3 versiones de servidor:

• CTAS

• ITDS

• COMMS Server

Esta guía se centrará en la versión de cliente, concretamente en Maltego

CE.

Maltego Classic Es la versión profesional de Maltego, orientada a empresas que puede ser

utilizado de forma comercial.

Presenta ventajas frente a la versión de la comunidad en la mayor

cantidad de formatos en los que poder exportar los grafos, así mismo

permite crear grafos mayores que la versión gratuita de Maltego debido a

que no limita la cantidad de búsquedas.


ANTONI COBOS 5

Maltego XL Tiene todo el potencial y las funcionalidades de Maltego Classic, pero está

preparado para trabajar con grafos extremadamente grandes.

Maltego CE Es la versión gratuita de Maltego, viene integrada con Kali Linux y está

limitada frente a la versión Classic.

La característica más importante frente a su versión de pago es que

Maltego CE no permite la exportación de grafos ni la utilización en

entornos comerciales.


ANTONI COBOS 6

A continuación, podemos ver una comparativa de las tres versiones.


ANTONI COBOS 7

Instalación de Maltego CE Si estamos utilizando Kali, este paso no será necesario porque ya viene

instalado por defecto.

Para cualquier otro sistema operativo que no incluya Maltego CE por

defecto, debemos ir a la página de Paterva y, en la sección de descarga,

debemos elegir el sistema operativo para el que queremos instalarlo, en

mi caso seleccionaré Windows y la versión de .exe + Java(x64).

El proceso de instalación es sencillo, tan solo hay que darle a siguiente y

elegir la ruta de instalación.


ANTONI COBOS 8

Primeros pasos con Maltego CE Lo primero y más importante al arrancar Maltego CE por primera vez es

elegir la versión que queremos utilizar.

En nuestro caso elegimos la versión gratuita pulsando el botón rojo.

Acto seguido, nos pide iniciar sesión.

Pulsamos en “Register here” para crear nuestra cuenta.


ANTONI COBOS 9

Una vez tengamos la cuenta activada, solo tenemos que introducir los

datos en la aplicación.

La pantalla inicial de Maltego CE es la siguiente:

En el recuadro verde de la imagen encontramos el menú de acciones de

Maltego CE, en el que podemos navegar para realizar las tareas durante

cualquier fase de la recopilación de información.

El recuadro rojo nos avisa de las actualizaciones pendientes.

Por último, el recuadro azul es uno de los lugares más importantes de la

herramienta, aquí podemos activar o desactivar los módulos que

utilizaremos para mejorar nuestros resultados.

Los módulos pueden instalarse seleccionándolos y eligiendo la opción de

instalar.


ANTONI COBOS 10

Módulos A continuación, analizaremos los módulos (transformaciones) disponibles

en la versión de Maltego CE.

PATERVA CTAS CE

Esta transformación es la que todos los clientes de Maltego deben tener,

pues da acceso al servidor oficial de Maltego para realizar las operaciones

básicas. Se debe tener instalado.

CASEFILES ENTITIES

Esta transformada importa características del cliente CaseFile de Maltego.

Para un uso básico no es necesario instalarlo y para esta guía permanecerá

desinstalado.

KASPERSKY LAB

Nos Ayuda uniendo nuestros datos recopilados en Maltego con la base de

datos de Kaspersky para detectar posible malware.

Para esta guía lo tendremos instalado.


ANTONI COBOS 11

SHODAN

Permite realizar búsquedas en SHODAN desde Maltego.

Indispensable en nuestra guía.

Se recomienda su instalación.

HYBRID-ANALYSIS

Nos permite realizar análisis de malware desde MALTEGO.

Sin duda otro de los indispensables para esta guía.

Se recomienda tenerlo instalado.

VIRUS TOTAL

Conecta la API de VirusTotal con Maltego, permitiendo realizar análisis de

nuestros grafos.



ANTONI COBOS 12

NEWSLINK

Un gran buscador en bases de datos de noticias, con él podremos ver si

nuestro objetivo ha aparecido en algún periódico o noticia.

Se recomienda instalarlo.

THREATMINER

Nos ayuda a analizar datos mediante la API de ThreatMiner.org


PASSIVETOTAL

Nos proporciona una vía para analizar nuestros datos con PassiveTotal,

pero hasta un total de 25 elementos al día.

Se recomienda la instalación.


ANTONI COBOS 13

BITCOIN

Un módulo que permite ver transacciones de bitcoins, en esta guía no

vamos a centrarnos en ello porque se necesita un wallet de bitcoins.

Si se quiere obtener más información al respecto, se puede visitar su web

oficial:

http://maltego.blogspot.com.es/2016/04/visualization-bitcoin-blockchain-

in.html

THE MOVIE DATABASE

Proporciona una manera de buscar nombre de películas, actores y

entornos del ámbito del cine.

Nosotros no vamos a centrarnos en analizar famosos así que no lo

instalaremos en esta guía.

HAVEIBEENPWNED

Sin duda otro de los grandes indispensables, nos dice si el email a analizar

pertenece a una base de datos que ha sido sustraída de un sitio web.

Se debe tener instalado.

http://maltego.blogspot.com.es/2016/04/visualization-bitcoin-blockchain-in.html

http://maltego.blogspot.com.es/2016/04/visualization-bitcoin-blockchain-in.html


ANTONI COBOS 14

PEOPLE MON

Un buscador de personas. Es muy útil para indagar en nuestros objetivos.

Se recomienda instalarlo.

Al final, tendremos los módulos tal como aparecen en la siguiente imagen.

Para todos aquellos módulos que se necesite una API, es

deber del usuario registrarse en la web del creador del

módulo y obtener su clave, en esta guía vamos a suponer

que el usuario ya dispone de dichas claves.


ANTONI COBOS 15

Nuestro primer grafo

Debemos seleccionar el menú de Maltego y seleccionar New.

A continuación, vemos la vista organizada en tres bloques principales y

dos secundarios.


ANTONI COBOS 16

Bloque Rojo:

Son todos los nodos que podemos añadir. Dependerá de los

módulos instalados.

Bloque Verde:

Es el menú principal de la aplicación.

Bloque Azul:

La vista principal, aquí se visualizará nuestro grafo y podremos

interactuar con él.

Vamos a proceder a añadir nuestro primer elemento al grafo, lo haremos

de tipo email.

En el bloque Rojo debemos buscar el elemento llamado Email y arrastrarlo

al bloque Azul.

Posteriormente hacemos doble click en el texto del nodo para poner el

email que queramos, en este ejemplo utilizaremos

[email protected]

mailto:[email protected]


ANTONI COBOS 17

Nuestra primera transformada Para realizar operaciones, hacemos click con el botón derecho del ratón

sobre el nodo en el que queramos hacer las transformadas y elegimos cual

aplicar.

En esta guía utilizaremos la opción de todas las transformadas.

Las transformadas nos ha devuelvo lo siguiente.


ANTONI COBOS 18

El resultado nos ha devuelto un nodo de tipo @haveibeenpwned sin

resultados, por lo que no está en su base de datos.

También nos ha devuelto un nodo de tipo web con el servidor al que

apunta el correo electrónico.


ANTONI COBOS 19

En esta imagen vemos como el email analizado nos devuelve las webs en

las que han hackeado emails entre los que figuraba el nuestro.

Guardar resultados Para almacenar los resultados debemos elegir la opción de guardar,

Elegir un nombre y un directorio.

En este menú podemos aplicar acciones al grafo, como reordenarlo, verlo

en pantalla completa, recargarlo y muchas otras acciones.

A los nodos resultantes de un análisis podemos hacerle nuevos análisis

creando así grafos gigantescos, no obstante, en la versión CE de Maltego,

esos grafos serán significativamente menores.

A continuación, veremos el resultado de aplicar varias transformadas

más a los resultados.

Como vemos, el grafo resultante es de un tamaño considerable.


ANTONI COBOS 20

Características avanzadas

Grafo compartido Maltego CE, aunque limitado, nos aporta funcionalidades avanzadas como

la posibilidad de compartir grafo y trabajar en conjunto sobre un caso de

forma remota mediante sesiones.

Para ello debemos elegir en el menú de Maltego la opción Collaboration.

Y podemos compartir el grafo actual o unirnos a uno ya existente.

En ambos casos nos saldrá la misma ventana pidiéndonos un nombre de la

sesión, una clave y un nombre para mostrar.

Si vamos a crear la sesión nosotros debemos rellenar dichos datos como

gustemos, pero si vamos a unirnos a la sesión de otra persona, debemos

poner ahí los datos que nos proporcione.


ANTONI COBOS 21

Gestionar vista Una de las características más potentes de Maltego es poder gestionar las

vistas, que permite administrar los elementos globales de la interfaz de

Maltego, así como la creación y modificación de transformaciones y otros

objetos personalizados.


ANTONI COBOS 22

Al seleccionar en Manage View se nos abrirá una ventana como la

siguiente.

Ahí podemos gestionar varias características con las vistas del grafo.

Creando nuestros propios tipos Maltego ofrece a los usuarios la capacidad de crear sus propios tipos de

una manera fácil y rápida.


ANTONI COBOS 23

Si seleccionamos la opción New Entity Type podremos ver un asistente

que nos guiará paso a paso.

Display name: Será el nombre que se mostrará en el panel de objetos.

Short description: Debemos poner una pequeña descripción sobre

nuestro objeto.

Unique type name: Será un identificador único para el objeto, ningún otro

objeto debe tener uno igual.

Base Entity: Aquí indicaremos si hereda características de otro objeto.

Icons: elegiremos los iconos a mostrar.

En nuestro caso quedará así.


ANTONI COBOS 24

En la siguiente ventana tendremos que rellenar los datos de forma similar

a la anterior.

Finalmente tendremos que elegir una categoría para el nuevo objeto.


ANTONI COBOS 25

Como podemos ver en la siguiente imagen, el objeto se ha creado

correctamente.


ANTONI COBOS 26

Para que este objeto tenga algún significado, es necesario crear/importar

y ejecutar alguna transformación. Cuando se crea una transformación es

necesario tener un Script en Python, Perl u otro lenguaje que ejecute la

lógica de la transformación junto con sus parámetros (si los tiene) en el

caso de la importación de una transformación se utilizan una o varias de

las existentes en los repositorios de Maltego para tal objetivo.

Al seleccionar la opción de New Local Transform podemos crear

transformadas almacenadas en nuestro propio ordenador.


ANTONI COBOS 27

En la ventana debemos rellenarla con los datos que nos pide y en Input

entity type elegiremos el objeto que acabamos de crear.


ANTONI COBOS 28

Por último, indicamos el programa a ejecutar y la ruta de trabajo.


ANTONI COBOS 29

Una vez elegido el script a ejecutar, podemos añadir el objeto MAC a

nuestro grafo y aplicarle la transformada que acabamos de crear.

Ejecutando pseudoscripts Maltego nos permite ejecutar pseudoscripts predefinidos los cuales se

ejecutan de manera remota (en servidores llamados máquinas) que se

encargan de cumplir una determinada tarea para obtener información.

También sería posible crear máquinas por el propio editor. Las máquinas

por defecto en la versión gratuita son las siguientes:

Company Stalker: Esta máquina intentará obtener todas las direcciones

de correo de un determinado dominio y averiguará cuales ofrecen

resultados en redes sociales. Además, obtiene los documentos alojados en

el dominio y extrae los metadatos. Requiere como dato de entrada el

dominio a analizar.

Footprint L1: realiza un footprint de nivel 1 (rápido, básico) sobre un

dominio.


ANTONI COBOS 30

Footprint L2: Realiza un footprint de nivel 2 (medio) sobre un dominio.

Footprint L3: Realiza un footprint de nivel 3 (intensivo) sobre un dominio.

Requiere de tiempo y consume muchos recursos. Se recomienda usarlo

con cuidado.

Person – Email Adress: Intenta obtener las direcciones de correo de una

determinada persona y averigua los sitios webs en los que aparecen.

Requiere como dato de entrada una dirección de correo inicial.

Prune Leaf Entities: Elimina las entidades sin nodos dependientes.

Twitter Digger: Busca una determinada frase como un alias de Twitter. Es

posible que esta máquina se vea bloqueada por la API de Twitter al

ejecutarse en varias ocasiones.

Twitter Geo Location: Intenta encontrar la geolocalización de una

determinada persona en Twitter utilizando diferentes técnicas.

Twitter Monitos: Monitoriza Twitter en busca de los hashtags, y entidades

mencionadas que aparecen en torno a una determinada frase.

URL To Network Add Domain Information: A partir de una URL obtiene

información de la red y del dominio al que pertenece.


ANTONI COBOS 31

Al elegir una de esas opciones, nos pedirá ciertos inputs dependiendo de

la opción elegida.

Nosotros hemos seleccionado Footprint L3.


ANTONI COBOS 32

Analizaremos el dominio www.lsi.us.es.

Como estamos en la versión Ce de Maltego, nos saltará un aviso

diciéndonos que el resultado estará restringido a 12 nodos.

Al darle a OK Maltego se pondrá a trabajar y ejecutará el pseudoscript que

hayamos elegido.

http://www.lsi.us.es/


ANTONI COBOS 33

El grafo resultante es el siguiente.

maltego para todos · para cualquier otro sistema operativo que no incluya maltego ce por defecto,...

Documents