+7 (812) 677-17-05

Maltego Часть 7. DarkNet matter

#

DarkNet.

О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dark Net — это такой же интернет, но живет он в своем первозданном и незамутненном корпоративным и госрегулированием виде.

И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.

Перед прочтением рекомендую ознакомиться с предыдущими статьями цикла о Maltego:

Часть 1 — Что такое Maltego и зачем оно вообще нужно
Часть 2 — Интерфейс и базовое устройство
Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Часть 6 — Поиск информации с применением геолокации

Там много полезной информации.

Disclaimer

Для корректной демонстрации механик я буду использовать уже известные мне рабочие примеры по поиску информации. Они не являются реальными в полной мере, однако являются крайне репрезентативными. Вся информация, представленная в данной статье, носит ознакомительный характер. Для повторения указанных методик Вам потребуется связка из Maltego с плагином Social Links. Ну и будем честны: OSINT по DarkNet-форумам, это не поиск своих бывших одноклассников в ВК и не то, чем вы станете заниматься в рамках стандартных кейсов по OSINT. В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.

 

Проверка благонадежности сотрудников

Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.

Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.

Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).

Используя Entitie: Search Person мы запускаем Transform: [Facebook] Search Users. Получаем аккаунт Тины в Facebook.

Для Entitie: Email Address мы стартуем Transform: [Facebook] Lookup By Email. Малтиго добросовестно находит тот же аккаунт, чем подтверждает, что это нужный нам человек.

Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через Transform: [Facebook] Get User Details. Получаем дополнительную информацию о месте работы, учебы, проживания (если данная информация заполнена в профиле фейсбук). Бонусом получаем связанный Инстаграм-аккаунт.

Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов Transform: [Convert] To Entities From Profile, чтобы получить предполагаемые Alias’ы человека (ну или если по-простому — предположительные никнеймы).

Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinkati87.

Запускаем Transform: [Darknet] Search User по обоим Alias и смотрим результат.

А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!

Давайте проверим что пишет данный пользователь. Для этого запускаем Transform: [Darknet] User Posts.

А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.

 

Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.

 

Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.

И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.

PGP ключ, который смог

Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.

— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в Entitie: PGP Open Key, мы запускаем магию посредством Transform: [Convert] PGP To Email.

Вуаля! Мы имеем адрес электронной почты.

Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем Transform: [Facebook] Lookup By Email.

И, как итог, получаем аккаунт в Facebook.

 

Поиск информации на форумах DarkNet по ключевым словам и фразам

Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем Entitie: Phrase и задаем ей значение искомого слова/предложения. Применяем Transform: [Darknet] Search Posts и получаем выборку по постам на различных форумах, где есть указанная нами фраза.

Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим Transform: [Darknet] Search Products. В выдаче мы получим ссылки на «лоты» продуктов.

Еще поиск товаров можно выполнить от Entitie: Location. Тут нам доступны Transforms по поиску доставки в локацию и из нее: [Darknet] Search Products (shipping from) и [Darknet] Search Products (shipping to).

Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.

 

Вот и все на сегодня

Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь.

09.11.2020 Блог
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Владимир М. Владимир М. junior pentester

Специалист по фишингу, OSINT и социальной инженерии. Имеет высокие навыки по сбору и анализу информации из открытых источников. Опытный пользователь фреймворка Maltego.

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных