Tutorial Maltego

UNIVERSIDADE ESTÁCIO DE SÁ CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

DISCIPLINA: ANÁLISE DE VULNERABILIDADES

Prof.: Cassio Ramos

Tutorial de Uso Maltego 3.0.4 Data Mining

Alunos:

NOME MATRÍCULA Eduardo Gonçalves de Melo 2010.100.26.12-7 Marcelo Henrique Marins e Silva 2010.100.26.14-3 Pedro Apolinario Viana 2010.100.34.19-7 Roberto da Silva Henriques Coval 2010.100.26.13-5

2 Tutorial de uso do Maltego – Data Mining

1. OBJETIVOS DESTE TRABALHO

Este trabalho tem como objetivo a elaboração de um tutorial prático, destinado aos

profissionais de TI, que auxiliará a estabelecer uma estratégia de uso de um software de Data

Mining - Maltego - na investigação de informações sobre uma pessoa qualquer. Tomou-se

como premissa que o usuário já tenha vencido as etapas de instalação e configuração do

software, que não representa nenhuma grande dificuldade.

O trabalho está baseado na versão grátis, ou Community Edition (CE), da versão 3.0.4

do Maltego. Esta é a versão mais recente até a publicação deste documento e pode ser

encontrado no link abaixo, com opções para plataformas Windows e Linux:

Fig.1 – Link da empresa Paterva – criadora do Maltego


2. ESTRATÉGIA

A função que o Maltego exerce é conhecida com Data Mining, o que na melhor tradução

poderia ser compreendida como “garimpo de informações”. Assim sendo, a maior parte das

atividades que o Maltego automatiza poderiam ser feitas a partir de scripts, buscas na web,

consultas em DNS, etc. O Maltego não explora diretamente nenhuma vulnerabilidade do

objeto alvo de pesquisa. A forma gráfica de exibição dos resultados das pesquisas facilita

enormemente a seleção e refinamento das respostas se comparado com a forma usual em

“modo texto”.

Este tutorial tem como objetivo mostrar o uso do Maltego para obter o máximo de

informações sobre uma pessoa qualquer. Trabalhando com a versão gratuita do software,

tem-se um número limitado de resultados obtidos nas pesquisas automatizadas, mas pode-se

claramente ver o seu potencial de uso e, mesmo com as limitações, é possível obter algumas

valiosas informações sobre o objeto ao qual estamos procurando informações.

Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar

um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no

trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software

até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica

atribuída na programação do software, mas somente quem está no comando da pesquisa

pode definir se a resposta faz ou não sentido, como no exemplo abaixo:

Fig.2 – Relevância do e-mail: Maltego x Usuário

No exemplo capturado anteriormente, quando procuramos e-mails relacionados com a

pessoa “Maria das Graças Meneguel”, o Maltego, ao calcular o grau de relevância dos e-mails

encontrados, poderia atribuir um peso menor ao e-mail [email protected], pois o nome “xuxa”

não parece ter vínculo semântico/textual com o objeto pesquisado. Se o usuário não tivesse a

informação de que “Xuxa” é o nome artístico da “Maria das Graças Meneguel”, a pesquisa

poderia se distanciar dos resultados esperados.

Diante disso, traçou-se para este trabalho uma linha de informações preliminares que

nos auxiliarão a obter informações complementares sobre uma pessoa qualquer. Mas antes foi

necessário “escolher” um alvo qualquer para ser o objeto de pesquisa. Este trabalho está


dividido em duas partes, conforme o alvo: uma que busca informações sobre um e-mail/nome

e a segunda que trata de busca por informações de um site/domínio.

Em Data Mining a organização corresponde a 80% do trabalho. Estabelecer critérios

para tomadas de decisão, usar ferramentas auxiliares, definir checkpoints para identificar onde

uma decisão errada está se distanciando do alvo (a escolha errada do e-mail no exemplo

acima), etc. Tudo isso alimenta o “motor de inferência” das respostas obtidas com o Maltego

(ou qualquer outra ferramenta de Data Mining) para traçar o Dossiê. Este motor de inferência

é o próprio pesquisador.


3. DATA MINING - Pesquisa de e-mail/domínio

ARBITRANDO UM E-MAIL PARA SER O ALVO:Para escolher um e-mail existente, aleatório, do

qual não se tinha nenhum vínculo ou informação, entrou-se com a seguinte string de busca no

Google: “futebol”, “bola”,“papo” “@gmail.com” e obteve-se o seguinte resultado:

Fig.3 – Escolha aleatória de um e-mail do gmail

Pelo próprio Google já foi possível notar que o assunto correlato é FUTEBOL e que

existe um domínio registrado com nome papodebola.com.br. Então é hora de atualizar o log

das informações até então obtidas:

Antes de ir ao Maltego, investigou-se a existência de algum outro e-mail relacionado

que pode ser útil. O próprio GMail nos auxiliará nesta missão. Basta “simular” que somos o

usuário real e esquecemos a senha. O GMail pode dar mais algumas pistas de e-mails

alternativos para montar o log:

Fig.4a – Recuperação de senha do Gmail: mais pistas

e-mail: [email protected]

Domínios relacionados: gmail.com, papodebola.com.br

Assuntos de Interesse: futebol


Fig.4b – Novas pistas descobertas

Estas informações poderiam ser obtidas com o próprio Maltego, porém usando a

versão gratuita não temos número de respostas suficientes para obtê-las, já que as respostas

que queremos residem basicamente em domínios registrados no Brasil (.br). Os fóruns

apontam esta “superficialidade” nas respostas da versão gratuita como “non deep-dig”, ou

seja: escavação não profunda.

Apesar do Gmail “ocultar” os caracteres que formam o segundo e-mail do alvo, pode-

se facilmente inferir que:

P*********@y****.***.** corresponde a [email protected]

Sobre o telefone, não se pode afirmar muita coisa, mas é possível observar que trata-

se de um número de 11 dígitos. No Brasil a grande maioria dos números particulares possuem

apenas 8 dígitos e usa-se 3 dígitos para código de localidade. Então, pode-se inferir que o

número deve ser: (***) ****-**34. Mais uma observação útil: todos os DDS começam por “0”

(zero), logo, melhorando a informação temos: (0**) ****-**34

Já temos mais informações que nos auxiliarão nas escolhas que faremos usando o Maltego.

Resta atualizar o log:

E com estas informações preliminares já podemos iniciar a pesquisa com o Maltego.


e-mail alternativo (não confirmado): [email protected]

Telefone: (0**) ****-**34

domínios relacionados: gmail.com, papodebola.com.br



BUSCANDO OUTROS E-MAILs RELACIONADOS: Como primeira aproximação, inseriu-se o e-

mail do GMail e buscou-se as transformações relacionadas somente com e-mail.

Fig.5 – Transformação para e-mail

Existem 4 níveis de transformação disponíveis para este Objeto (e-mail), a saber:

a) All Transforms (no topo da lista): São Pesquisas Específicas para e-mail + Pesquisas

Complementares que tratam e-mail de forma indireta (verificação de DNS, sites de

relacionamentos, etc);

b) Related E-mail Addresses: São somente as Pesquisas Específicas citadas

anteriormente;

c) Other Transforms: São somente as Pesquisas Complementares citadas anteriormente;

d) All Transforms (na base da lista): São todas as Pesquisas Disponíveis. O Maltego exibe

um alerta dizendo que os resultados podem demorar. Este tipo de pesquisa deve ser

feita com cautela, pois pode trazer muitos resultados inúteis e a tela fica muito

confusa.

Vamos usar a transformação específica para e-mail (“Related E-mail Addresses”), mas

antes, sugerimos que sejam ajustados alguns parâmetros. Para tanto, basta clicar no pequeno

ícone destacado na figura. O nome “transformações” é um nome genérico que a provedora do

software usa para designar uma pesquisa, pública ou não.

As pesquisas públicas permitem que o usuário ajuste para qual ferramenta pública deseja

usar na sua pesquisa. Em algumas opções de busca na web, o engine do Maltego usa o Yahoo,

mas podemos, e aconselhamos que isso seja feito, direcionar para o Google, por exemplo. E

isso será feito sempre que a parametrização permitir.


Fig.6 – Ajustando o Search Engine para o Google, ao invés do Yahoo

Explorando melhor este quadro, percebe-se que existem diversas outras informações

sobre a maneira que o Maltego faz esta busca. Percebe-se qual é a Entrada e Saída desta busca

(INPUT e OUTPUT), a descrição, o timeout (por exemplo: se o Google estiver lento para

responder, pode-se ajustar este tempo), etc.

Das informações dispostas nas colunas, a maioria é obvia, mas cabe destacar a

Location, que indica de onde partirão efetivamente as buscas. Na versão comercial existem

buscas que podem partir da sua estação de trabalho diretamente (e existem APIs para que o

usuário mesmo desenvolva). No caso das transformações do grupo de e-mail, os módulos

estão em CES TAS (site do fabricante).


Do resultado obtido ao rodar as transformações relativas a e-mails, temos a resposta

exibida na tela abaixo, da qual, foi destacada as que sugerem maior chance de sucesso nas

investigações que se seguirão.

Fig.7 – Escolhendo mais informações relacionadas

Para não congestionar a tela, podemos apagar os objetos que vamos desconsiderar,

mas sempre incluindo as novas informações no log. Para maior detalhe do que foi descoberto,

cabe observar com atenção a tela de properties. Clica-se (uma única vez) no objeto para

destacá-lo e em seguida ver o que traz a janela de Property View, conforme abaixo:

Fig.8 – Propriedades do Objeto



e-mail alternativo (não confirmado): [email protected],

[email protected], [email protected]

Telefone: (0**) ****-**34

Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br


Percebemos mais informações relevantes para pesquisa. O investigador deve visitar as

URLs apontadas e, se achar conveniente traçar pesquisas em paralelo para investigar mais

detalhes. Era objetivo descobrir novos e-mails associados, mas além de descobri-los acabamos

por achar outro domínio relacionado (diariosassociados.com.br). É momento de atualizar o

log:


CONFIRMANDO OS E-MAILS: Vamos rodar uma transformação que permitirá saber se

os e-mails até então descobertos são válidos. Esta informação poderá ser útil para um

futuro contato por e-mail usando Engenharia Social.

Fig.9 – Confirmando os e-mails

Pelo exibido na figura cima o log “perdeu” uma informação de e-mail (@terra.com.br)

e teve um deles sem verificação (@diariosassociados.com.br), mas o domínio continua sendo

útil, apesar de não ser possível confirmar o e-mail, não quer dizer que ele não exista ou que

nunca tenha existido.


DESCOBRINDO INFORMAÇÕES SOBRE PESSOAS ATRAVÉS DE DOMÍNIOS RELACIONADOS

Na sequência de passos a seguir, vamos obter informações sobre a pessoa que utiliza o

e-mail alvo de nossa pesquisa. As transformações objetivarão descobrir se existe algum mais

domínio associado à conta [email protected].

Vamos investigar outros domínios relacionados com a transformação abaixo.

Novamente sugerimos que seja alterado o parâmetro para apontar para o Google (destaque

em verde abaixo):

Fig.11 – Pesquisando outros domínios relacionados

Cabe destacar que foi usada a transformação “To Website” ao invés de “To Domain”.

Esta última nos levaria a obter informações do Gmail, já que este é o domínio diretamente

associado ao e-mail fornecido. Ao usar a transformação “To Website”, buscamos sites na web

que tenham relacionamentos com qualquer parte do e-mail fornecido.

Fig.12 – Destaques de possíveis sites relacionados


Observa-se que o tema preferido do nosso alvo é mesmo relacionado a futebol e esta

informação ganha mais peso a cada passo, dado o link com o site do Milton Neves, conhecido

comentarista esportivo. Provavelmente vamos encontrar alguma entrada no Tweeter, graças a

pista dada pelo domínio tweetmeme.com (search tool de comentários do Tweeter).

O maior destaque é o site www.papodebola.com.br. Vamos apagar os demais sites e

explorar mais este último. Aplicaremos mais transformadas para converter o site em domínio e

buscaremos informações sobre o “dono” do e-mail alvo desta pesquisa.

Fig.13 – Convertendo o site em domínio

A partir do domínio obtido, as transformadas a seguir exibem informações do

proprietário do domínio, que poderá ter algum relacionamento com nosso alvo.

Fig.14 – Transformada para obter mais dados do domínio.


É possível obter os servidores que servem ao domínio, conforme mostra a figura a

seguir. Porém a pesquisa sobre o proprietário do domínio não foi possível de ser feita na

versão gratuita, que usa o WhoIs público americano. No Brasil a consulta adequada deveria ser

para o WhoIs do Registro.br. Vamos fazer uma busca alternativa usando o Maltego e depois

confirmar com uma consulta direta ao Registro.br.

Usando o Maltego, aplicamos a transformação sobre o e-mail alvo para obter

informações de redes sociais (no caso o flickr):

Fig.15 – Busca em redes sociais

O resultado aponta para uma entidade “EduCesar” presente no Flickr. Uma visita ao

site indicado no menu Property View confirma a possibilidade de que o proprietário do

domínio papodebola.com.br seja também o titular do e-mail [email protected] e possui

o nome “Eduardo Cesar”

Fig.16 – Vínculo com o site Flickr (yahoo)


Nome: Eduardo de Oliveira Cesar

e-mail: [email protected], [email protected]

Telefone: (0**) ****-**34



CNPJ: 078.512.603/0001-60

Uma consulta complementar no Registro.br confirma o que encontramos:

Fig.17 – Consulta ao Registro.br

O e-mail do domínio @terra.com.br voltou ao log, graças ao “peso” que o pesquisador

deu às informações do site registro.br.

De posse destas informações, devemos atualizar o log:


Agora temos várias fontes para iniciar uma nova pesquisa. Vamos criar um novo objeto

chamado “Eduardo de Oliveira Cesar” e fazer novas transformações.

Fig. 18 – Novo Objeto do tipo PERSON

Percebe-se que uma nova caixa de diálogo se abre, questionando sobre informações

adicionais de tentativa de vínculo com algum domínio. No caso, buscamos vínculos com

papodebola.com.br e este foi o domínio preenchido. Os campos destacados NÃO ESTÃO EM

BRANCO. Foram preenchidos com o caráter ESPAÇO, conforme sugere o texto em inglês

quando não temos nada para informar.

Fig. 19 – Preenchendo informações adicionais de vínculo


A resposta a esta pesquisa foi enriquecedora, pois revela claramente os vínculos já

apontados. Inclusive achamos o e-mail original ([email protected]) que iniciou esta

pesquisa.

Fig. 20 – Vínculos estabelecidos e confirmados.

Apesar de parecer ser convincente uma foto com o nome e sobrenome do alvo

procurado, o pesquisador precisa recorrer aos seus critérios antes de aceitar esta informação.

Uma visita ao FaceBook e busca pelo nome mostra um perfil que diverge fortemente dos

temas relacionados ao futebol conforme era esperado. Isto serve para ilustrar que o

pesquisador sempre deve ponderar muito antes de adotar ou não uma nova pista. Um erro

pode levar a caminhos de difícil retorno.


Para se preparar para um possível contato com o alvo, é melhor que seja direcionado

um e-mail para uma conta pessoal e não uma conta [email protected]. Para confirmar

se a conta eduardodeoliveiracesar@gmail pertence mesmo ao alvo e se está ativa, basta

realizar as transformações abaixo:

Fig. 21 – Verificar se o e-mail existe

Fig.22 – Comprovação do vínculo entre o domínio e o e-mail pessoal

Na figura cima, além dos vínculos confirmados, aparecem outras informações que

sugerem uma atividade profissional do alvo: atividade policial. Fato percebido pelos domínios

sociedadepolicial.files.wordpress.com e guardamunicipalnh.ning.com.


Nome: Eduardo de Oliveira Cesar

Profissões relacionadas: comentarista esportivo, atividade policial (à confirmar)

e-mail: [email protected], [email protected]

Telefone: (0**) ****-**34



CNPJ: 078.512.603/0001-60

Então, de posse destas novas informações pode-se buscar informações complementares no

Google, bastando entrar com os dados obtidos do log:

Uma informação parecia não estar correta: ao se consultar o link do YouTube que a

pesquisa do Google apontava, foi possível constatar que, no exemplo escolhido ao acaso para

este trabalho, ocorreu um caso de homônimo perfeito. Confrontando a foto exibida na página

da rádio gaúcha onde aparece o Eduardo de Oliveira Cesar, com forte ligação ao futebol, o link

do YouTube mostra uma outra pessoa na reportagem de prisão de foragidos no Rio Grande do

Sul, conforme imagens abaixo:

Fig. 23 – Informações do Google para os possíveis “Eduardo de Oliveira Cesar”, dono do e-mail

[email protected]


Para dirimir este conflito utilizamos um simples artifício de Engenharia Social, mandando um e-

mail para o [email protected], com um assunto fortemente relacionado à futebol onde,

além de obter mais informações, comentamos sobre o caso de homônimo.

Para obter um link, fomos até o site do Milton Neves buscar algum vínculo que desse

credibilidade ao e-mail e achamos este comentário assinado pelo alvo.

Fig.24 – Vínculo obtido em http://terceirotempo.ig.com.br/coluna_materia.php?id=835

Montamos então o seguinte e-mail:

Fig. 25 – Texto de e-mail


Utilizamos um serviço de envio anônimo de e-mails (Fake E-mails). Este provedor foi

escolhido porque é um dos poucos que não acrescenta um Banner identificador da origem:

Fig. 26 – Fake Mail - http://emkei.cz/

Direcionamos as respostas e os erros de entrega para o e-mail real que foi criado no

Gmail: [email protected]. Assim, se o alvo responder ao remetente, as

respostas seguirão para este endereço do Gmail.


4. DATA MINING - Pesquisa de site/domínio

Com a proximidade dos jogos olímpicos que serão realizados no Rio de Janeiro em 2016,

muitos questionam se a cidade estará preparada para esse evento. Com esse pensamento,

resolvemos verificar a vulnerabilidade do domínio do COB (Comitê Olímpico Brasileiro -

www.cob.org.br).

Com o auxilio do Maltego tentaremos identificar alguns servidores no domínio

“cob.org.br”, tais como servidores de e-mail, DNS, FTP, etc.

Fig.1 – Transformação para servidores DNS

A figura a seguir mostra o resultado de alguns servidores encontrados.

Fig.2 - Servidores publicados na WEB

Mesmo sendo uma versão gratuita, o Maltego mostrou um resultado satisfatório e

oferece algumas funções que irá nos ajudar muito em nossa pesquisa. Como por exemplo, a

resolução de endereço IP de um servidor encontrado.


Fig.3 – Resolvendo endereço IP

Para conferir a veracidade do Sistema, fiz uma consulta no Netcraft (http://news.netcraft.com)

Fig.4 – Resultado da busca no endereço FTP (http://ftp.cob.org.br)

Na fig.2 é possível identificar alguns tipos de servidores pelo nome. Como exemplo o

próprio servidor FTP. Pois se utilizarmos o endereço na internet ele solicitará uma conta para a

autenticação e acesso do mesmo.

Mas usaremos outro servidor de exemplo para que seja possível utilizar mais uma

opção do Maltego. A escolha da transformação To Domain [Sharing this MX] determina quais

domínios utilizam o mesmo nome DNS.


Fig.5 - Transformação To Domain [Sharing this MX] no objeto srv-correio.cob.org.br

O sistema mostrará mais três domínios, onde é evidente o domínio criado para as

olimpíadas de 2016 aqui no Rio de Janeiro. Os outros dois são de uma empresa responsável

pelo marketing do COB (http://olympomkt.com.br) e outro criado provavelmente para um

comitê das olimpíadas de 2004 em Atenas.

Mas concentrando esforços na busca por informações sobre os jogos de 2016: Existe

uma opção no Maltego que é capaz de nos mostrar documentos hospedados em site web

dentro do domínio.

Fig.6 – Encontrando arquivos e documentos hospedados no domínio.


Fig.7 – Arquivos e documento encontrados hospedados no domínio.

A maior parte dos arquivos encontrados tem como título o nome de um cargo. Para

visualizar o arquivo hospedado é necessário copiar o endereço da URL que se encontra na

propriedade do objeto. Basta dar um dublo clique em cima do objeto ou selecioná-lo e em

seguida clicar na guia Property View no canto superior direito da janela do sistema.

Fig.8 – Acessando as propriedades do objeto


Depois de copiar o endereço da URL, acessamos o mesmo e foi possível verificar que se

tratava de um documento descrevendo uma possível vaga de emprego no Comitê Olímpico

Rio 2016

(http://www.rio2016.org.br/sites/default/files/analista_de_infraestrutura_de_ti_junio

r.pdf).

Utilizando a mesma técnica no domínio rio2016.org.br que utilizamos no domínio

anterior (conforme mostrado na Fig. 1) iremos obter o seguinte resultado.

Fig.9 - Servidores publicados na WEB do domínio rio2016.org.br

Agora, é possível verificar que no resultado surgiu um servidor de acesso ao correio

eletrônico pela WEB. Quando acessamos o endereço webmail.rio2016.org.br verificamos que

o servidor de e-mail que eles utilizam provavelmente é um Microsoft Exchange 2007.


Fig.10 – Página de acesso ao correio eletrônico na WEB do domínio rio2016.org.br

Na maioria das vezes, os administradores de correio Exchange acabam configurando a

conta de e-mail com o mesmo nome que a conta de rede (domínio) para cada conta. Ou seja,

se a conta de acesso a rede corporativa é carlos.nuzman, então o endereço de e-mail ficaria

[email protected].

Agora que já temos o endereço para acessar o webmail da empresa, falta apenas

encontrar uma conta para este domínio. Com a conta em mão é possível criar uma lista de

senhas (Word List) para em seguida tentar um ataque de força bruta (Brute Force) ou mesmo

engenharia social, conforme mostrado na primeira parte deste trabalho.

Tutorial Maltego

Technology

Transcript of Tutorial Maltego