Maltego Часть 7. DarkNet matter

DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dark Net — это такой же интернет, но живет он в своем первозданном и незамутненном корпоративным и госрегулированием виде.

И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.

rkve0pum2p4dgrkvfsynkd8g15c.png

Перед прочтением рекомендую ознакомиться с предыдущими статьями цикла о Maltego:

Часть 1 — Что такое Maltego и зачем оно вообще нужно

Часть 2 — Интерфейс и базовое устройство

Часть 3 — Maltego и OSINT в Facebook

Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях

Часть 5 — Применение системы распознавания лиц для OSINT в Maltego

Часть 6 — Поиск информации с применением геолокации

Там много полезной информации.


Disclaimer

Disclaimer


Для корректной демонстрации механик я буду использовать уже известные мне рабочие примеры по поиску информации. Они не являются реальными в полной мере, однако являются крайне репрезентативными. Вся информация, представленная в данной статье, носит ознакомительный характер. Для повторения указанных методик Вам потребуется связка из Maltego с плагином Social Links.

Ну и будем честны: OSINT по DarkNet-форумам, это не поиск своих бывших одноклассников в ВК и не то, чем вы станете заниматься в рамках стандартных кейсов по OSINT.


В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.

Проверка благонадежности сотрудников


eclyamtbn-pcut5rl8xxuoniork.jpeg

Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.

Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.

Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).

epubbnytlcdxc-rmcf0otujzc6s.jpeg

Используя Entitie: Search Person мы запускаем Transform: [Facebook] Search Users. Получаем аккаунт Тины в Facebook.

q7ig_kkacvhik4topkv8p0cw0ue.jpeg

Для Entitie: Email Address мы стартуем Transform: [Facebook] Lookup By Email. Малтиго добросовестно находит тот же аккаунт, чем подтверждает, что это нужный нам человек.

nsa6ptyrzd97pdesy2my7dhuuku.jpeg

Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через Transform: [Facebook] Get User Details. Получаем дополнительную информацию о месте работы, учебы, проживания (если данная информация заполнена в профиле фейсбук). Бонусом получаем связанный Инстаграм-аккаунт.

haphdkg6eildbfldo1h130y8xzs.jpeg

Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов Transform: [Convert] To Entities From Profile, чтобы получить предполагаемые Alias’ы человека (ну или если по-простому — предположительные никнеймы).

zeml-ekwuzaa6jozls4n8co0ips.jpeg

Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinka87.
Запускаем Transform: [Darknet] Search User по обоим Alias и смотрим результат.

cmiku5vvdwwqdjfd91zeziy6iok.jpeg

А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!

Давайте проверим что пишет данный пользователь. Для этого запускаем Transform: [Darknet] User Posts.

qgyhodww8opryreiz4htzpnzuvw.jpeg

А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.

olmrcniq9n-rmk1ydst9gtptgfg.jpeg

Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.

lwbnm0dp3kp2dtdp-jlbb_fan3m.jpeg

Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.

И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.

PGP ключ, который смог


-uj2670bkfdm-bcjpqvudh13kvc.jpeg

Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.

— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в Entitie: PGP Open Key, мы запускаем магию посредством Transform: [Convert] PGP To Email.

8obniiqgyvgj1qokmpnhc55cpeo.jpeg

Вуаля! Мы имеем адрес электронной почты.

uvvg1ttit5dr_cnmqwh5ul4edjw.jpeg

Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем Transform: [Facebook] Lookup By Email.

nzowma-univk6l9bkciuhwjnpke.jpeg

И, как итог, получаем аккаунт в Facebook.

koocrae7s7gp-oxe97kcoi_mkjy.jpeg

Поиск информации на форумах DarkNet по ключевым словам и фразам


pzxhkpsyez8mslfxg7d871le1nw.jpeg

Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем Entitie: Phrase и задаем ей значение искомого слова/предложения. Применяем Transform: [Darknet] Search Posts и получаем выборку по постам на различных форумах, где есть указанная нами фраза.

hhfnddb3cqkjvmoeqj7vah-vbxu.jpeg

mt7riinoeq2axs7usnarzmteif8.jpeg

Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим Transform: [Darknet] Search Products. В выдаче мы получим ссылки на «лоты» продуктов.

lghvvfhztrhtnd6zbvjvoqwgoa4.jpeg

Еще поиск товаров можно выполнить от Entitie: Location. Тут нам доступны Transforms по поиску доставки в локацию и из нее: [Darknet] Search Products (shipping from) и [Darknet] Search Products (shipping to).

suuaozzbo2nhjlgmpyoy0tahnnq.jpeg

Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.

c6je6cf1ypmtuvrl9sipryyabvm.jpeg

Вот и все на сегодня. Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь. Ну а если хочется почитать про самые интересные новости из мира ИБ и технологий, приходите в наш уютный тг-канал.

zdiiuqdz0koqhm6kqyhfjzqmmb0.jpeg

Дата: 2020-11-09 18:52:25

Источник: https://habr.com/ru/post/526506/