View
11.020
Download
10
Category
Preview:
Citation preview
UNIVERSIDADE ESTÁCIO DE SÁ CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES
DISCIPLINA: ANÁLISE DE VULNERABILIDADES
Prof.: Cassio Ramos
Tutorial de Uso Maltego 3.0.4 Data Mining
Alunos:
NOME MATRÍCULA Eduardo Gonçalves de Melo 2010.100.26.12-7 Marcelo Henrique Marins e Silva 2010.100.26.14-3 Pedro Apolinario Viana 2010.100.34.19-7 Roberto da Silva Henriques Coval 2010.100.26.13-5
2 Tutorial de uso do Maltego – Data Mining
1. OBJETIVOS DESTE TRABALHO
Este trabalho tem como objetivo a elaboração de um tutorial prático, destinado aos
profissionais de TI, que auxiliará a estabelecer uma estratégia de uso de um software de Data
Mining - Maltego - na investigação de informações sobre uma pessoa qualquer. Tomou-se
como premissa que o usuário já tenha vencido as etapas de instalação e configuração do
software, que não representa nenhuma grande dificuldade.
O trabalho está baseado na versão grátis, ou Community Edition (CE), da versão 3.0.4
do Maltego. Esta é a versão mais recente até a publicação deste documento e pode ser
encontrado no link abaixo, com opções para plataformas Windows e Linux:
Fig.1 – Link da empresa Paterva – criadora do Maltego
3 Tutorial de uso do Maltego – Data Mining
2. ESTRATÉGIA
A função que o Maltego exerce é conhecida com Data Mining, o que na melhor tradução
poderia ser compreendida como “garimpo de informações”. Assim sendo, a maior parte das
atividades que o Maltego automatiza poderiam ser feitas a partir de scripts, buscas na web,
consultas em DNS, etc. O Maltego não explora diretamente nenhuma vulnerabilidade do
objeto alvo de pesquisa. A forma gráfica de exibição dos resultados das pesquisas facilita
enormemente a seleção e refinamento das respostas se comparado com a forma usual em
“modo texto”.
Este tutorial tem como objetivo mostrar o uso do Maltego para obter o máximo de
informações sobre uma pessoa qualquer. Trabalhando com a versão gratuita do software,
tem-se um número limitado de resultados obtidos nas pesquisas automatizadas, mas pode-se
claramente ver o seu potencial de uso e, mesmo com as limitações, é possível obter algumas
valiosas informações sobre o objeto ao qual estamos procurando informações.
Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar
um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no
trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software
até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica
atribuída na programação do software, mas somente quem está no comando da pesquisa
pode definir se a resposta faz ou não sentido, como no exemplo abaixo:
Fig.2 – Relevância do e-mail: Maltego x Usuário
No exemplo capturado anteriormente, quando procuramos e-mails relacionados com a
pessoa “Maria das Graças Meneguel”, o Maltego, ao calcular o grau de relevância dos e-mails
encontrados, poderia atribuir um peso menor ao e-mail xuxa@gmail.com, pois o nome “xuxa”
não parece ter vínculo semântico/textual com o objeto pesquisado. Se o usuário não tivesse a
informação de que “Xuxa” é o nome artístico da “Maria das Graças Meneguel”, a pesquisa
poderia se distanciar dos resultados esperados.
Diante disso, traçou-se para este trabalho uma linha de informações preliminares que
nos auxiliarão a obter informações complementares sobre uma pessoa qualquer. Mas antes foi
necessário “escolher” um alvo qualquer para ser o objeto de pesquisa. Este trabalho está
4 Tutorial de uso do Maltego – Data Mining
dividido em duas partes, conforme o alvo: uma que busca informações sobre um e-mail/nome
e a segunda que trata de busca por informações de um site/domínio.
Em Data Mining a organização corresponde a 80% do trabalho. Estabelecer critérios
para tomadas de decisão, usar ferramentas auxiliares, definir checkpoints para identificar onde
uma decisão errada está se distanciando do alvo (a escolha errada do e-mail no exemplo
acima), etc. Tudo isso alimenta o “motor de inferência” das respostas obtidas com o Maltego
(ou qualquer outra ferramenta de Data Mining) para traçar o Dossiê. Este motor de inferência
é o próprio pesquisador.
5 Tutorial de uso do Maltego – Data Mining
3. DATA MINING - Pesquisa de e-mail/domínio
ARBITRANDO UM E-MAIL PARA SER O ALVO:Para escolher um e-mail existente, aleatório, do
qual não se tinha nenhum vínculo ou informação, entrou-se com a seguinte string de busca no
Google: “futebol”, “bola”,“papo” “@gmail.com” e obteve-se o seguinte resultado:
Fig.3 – Escolha aleatória de um e-mail do gmail
Pelo próprio Google já foi possível notar que o assunto correlato é FUTEBOL e que
existe um domínio registrado com nome papodebola.com.br. Então é hora de atualizar o log
das informações até então obtidas:
Antes de ir ao Maltego, investigou-se a existência de algum outro e-mail relacionado
que pode ser útil. O próprio GMail nos auxiliará nesta missão. Basta “simular” que somos o
usuário real e esquecemos a senha. O GMail pode dar mais algumas pistas de e-mails
alternativos para montar o log:
Fig.4a – Recuperação de senha do Gmail: mais pistas
e-mail: papodebola@gmail.com
Domínios relacionados: gmail.com, papodebola.com.br
Assuntos de Interesse: futebol
6 Tutorial de uso do Maltego – Data Mining
Fig.4b – Novas pistas descobertas
Estas informações poderiam ser obtidas com o próprio Maltego, porém usando a
versão gratuita não temos número de respostas suficientes para obtê-las, já que as respostas
que queremos residem basicamente em domínios registrados no Brasil (.br). Os fóruns
apontam esta “superficialidade” nas respostas da versão gratuita como “non deep-dig”, ou
seja: escavação não profunda.
Apesar do Gmail “ocultar” os caracteres que formam o segundo e-mail do alvo, pode-
se facilmente inferir que:
P*********@y****.***.** corresponde a papodebola@yahoo.com.br
Sobre o telefone, não se pode afirmar muita coisa, mas é possível observar que trata-
se de um número de 11 dígitos. No Brasil a grande maioria dos números particulares possuem
apenas 8 dígitos e usa-se 3 dígitos para código de localidade. Então, pode-se inferir que o
número deve ser: (***) ****-**34. Mais uma observação útil: todos os DDS começam por “0”
(zero), logo, melhorando a informação temos: (0**) ****-**34
Já temos mais informações que nos auxiliarão nas escolhas que faremos usando o Maltego.
Resta atualizar o log:
E com estas informações preliminares já podemos iniciar a pesquisa com o Maltego.
e-mail: papodebola@gmail.com
e-mail alternativo (não confirmado): papodebola@yahoo.com.br
Telefone: (0**) ****-**34
domínios relacionados: gmail.com, papodebola.com.br
Assuntos de Interesse: futebol
7 Tutorial de uso do Maltego – Data Mining
BUSCANDO OUTROS E-MAILs RELACIONADOS: Como primeira aproximação, inseriu-se o e-
mail do GMail e buscou-se as transformações relacionadas somente com e-mail.
Fig.5 – Transformação para e-mail
Existem 4 níveis de transformação disponíveis para este Objeto (e-mail), a saber:
a) All Transforms (no topo da lista): São Pesquisas Específicas para e-mail + Pesquisas
Complementares que tratam e-mail de forma indireta (verificação de DNS, sites de
relacionamentos, etc);
b) Related E-mail Addresses: São somente as Pesquisas Específicas citadas
anteriormente;
c) Other Transforms: São somente as Pesquisas Complementares citadas anteriormente;
d) All Transforms (na base da lista): São todas as Pesquisas Disponíveis. O Maltego exibe
um alerta dizendo que os resultados podem demorar. Este tipo de pesquisa deve ser
feita com cautela, pois pode trazer muitos resultados inúteis e a tela fica muito
confusa.
Vamos usar a transformação específica para e-mail (“Related E-mail Addresses”), mas
antes, sugerimos que sejam ajustados alguns parâmetros. Para tanto, basta clicar no pequeno
ícone destacado na figura. O nome “transformações” é um nome genérico que a provedora do
software usa para designar uma pesquisa, pública ou não.
As pesquisas públicas permitem que o usuário ajuste para qual ferramenta pública deseja
usar na sua pesquisa. Em algumas opções de busca na web, o engine do Maltego usa o Yahoo,
mas podemos, e aconselhamos que isso seja feito, direcionar para o Google, por exemplo. E
isso será feito sempre que a parametrização permitir.
8 Tutorial de uso do Maltego – Data Mining
Fig.6 – Ajustando o Search Engine para o Google, ao invés do Yahoo
Explorando melhor este quadro, percebe-se que existem diversas outras informações
sobre a maneira que o Maltego faz esta busca. Percebe-se qual é a Entrada e Saída desta busca
(INPUT e OUTPUT), a descrição, o timeout (por exemplo: se o Google estiver lento para
responder, pode-se ajustar este tempo), etc.
Das informações dispostas nas colunas, a maioria é obvia, mas cabe destacar a
Location, que indica de onde partirão efetivamente as buscas. Na versão comercial existem
buscas que podem partir da sua estação de trabalho diretamente (e existem APIs para que o
usuário mesmo desenvolva). No caso das transformações do grupo de e-mail, os módulos
estão em CES TAS (site do fabricante).
9 Tutorial de uso do Maltego – Data Mining
Do resultado obtido ao rodar as transformações relativas a e-mails, temos a resposta
exibida na tela abaixo, da qual, foi destacada as que sugerem maior chance de sucesso nas
investigações que se seguirão.
Fig.7 – Escolhendo mais informações relacionadas
Para não congestionar a tela, podemos apagar os objetos que vamos desconsiderar,
mas sempre incluindo as novas informações no log. Para maior detalhe do que foi descoberto,
cabe observar com atenção a tela de properties. Clica-se (uma única vez) no objeto para
destacá-lo e em seguida ver o que traz a janela de Property View, conforme abaixo:
Fig.8 – Propriedades do Objeto
10 Tutorial de uso do Maltego – Data Mining
e-mail: papodebola@gmail.com
e-mail alternativo (não confirmado): papodebola@yahoo.com.br,
papodebola@terra.com.br, papodebola.mg@diariosassociados.com.br
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
Percebemos mais informações relevantes para pesquisa. O investigador deve visitar as
URLs apontadas e, se achar conveniente traçar pesquisas em paralelo para investigar mais
detalhes. Era objetivo descobrir novos e-mails associados, mas além de descobri-los acabamos
por achar outro domínio relacionado (diariosassociados.com.br). É momento de atualizar o
log:
11 Tutorial de uso do Maltego – Data Mining
CONFIRMANDO OS E-MAILS: Vamos rodar uma transformação que permitirá saber se
os e-mails até então descobertos são válidos. Esta informação poderá ser útil para um
futuro contato por e-mail usando Engenharia Social.
Fig.9 – Confirmando os e-mails
Pelo exibido na figura cima o log “perdeu” uma informação de e-mail (@terra.com.br)
e teve um deles sem verificação (@diariosassociados.com.br), mas o domínio continua sendo
útil, apesar de não ser possível confirmar o e-mail, não quer dizer que ele não exista ou que
nunca tenha existido.
12 Tutorial de uso do Maltego – Data Mining
DESCOBRINDO INFORMAÇÕES SOBRE PESSOAS ATRAVÉS DE DOMÍNIOS RELACIONADOS
Na sequência de passos a seguir, vamos obter informações sobre a pessoa que utiliza o
e-mail alvo de nossa pesquisa. As transformações objetivarão descobrir se existe algum mais
domínio associado à conta papodebola@gmail.com.
Vamos investigar outros domínios relacionados com a transformação abaixo.
Novamente sugerimos que seja alterado o parâmetro para apontar para o Google (destaque
em verde abaixo):
Fig.11 – Pesquisando outros domínios relacionados
Cabe destacar que foi usada a transformação “To Website” ao invés de “To Domain”.
Esta última nos levaria a obter informações do Gmail, já que este é o domínio diretamente
associado ao e-mail fornecido. Ao usar a transformação “To Website”, buscamos sites na web
que tenham relacionamentos com qualquer parte do e-mail fornecido.
Fig.12 – Destaques de possíveis sites relacionados
13 Tutorial de uso do Maltego – Data Mining
Observa-se que o tema preferido do nosso alvo é mesmo relacionado a futebol e esta
informação ganha mais peso a cada passo, dado o link com o site do Milton Neves, conhecido
comentarista esportivo. Provavelmente vamos encontrar alguma entrada no Tweeter, graças a
pista dada pelo domínio tweetmeme.com (search tool de comentários do Tweeter).
O maior destaque é o site www.papodebola.com.br. Vamos apagar os demais sites e
explorar mais este último. Aplicaremos mais transformadas para converter o site em domínio e
buscaremos informações sobre o “dono” do e-mail alvo desta pesquisa.
Fig.13 – Convertendo o site em domínio
A partir do domínio obtido, as transformadas a seguir exibem informações do
proprietário do domínio, que poderá ter algum relacionamento com nosso alvo.
Fig.14 – Transformada para obter mais dados do domínio.
14 Tutorial de uso do Maltego – Data Mining
É possível obter os servidores que servem ao domínio, conforme mostra a figura a
seguir. Porém a pesquisa sobre o proprietário do domínio não foi possível de ser feita na
versão gratuita, que usa o WhoIs público americano. No Brasil a consulta adequada deveria ser
para o WhoIs do Registro.br. Vamos fazer uma busca alternativa usando o Maltego e depois
confirmar com uma consulta direta ao Registro.br.
Usando o Maltego, aplicamos a transformação sobre o e-mail alvo para obter
informações de redes sociais (no caso o flickr):
Fig.15 – Busca em redes sociais
O resultado aponta para uma entidade “EduCesar” presente no Flickr. Uma visita ao
site indicado no menu Property View confirma a possibilidade de que o proprietário do
domínio papodebola.com.br seja também o titular do e-mail papodebola@gmail.com e possui
o nome “Eduardo Cesar”
Fig.16 – Vínculo com o site Flickr (yahoo)
15 Tutorial de uso do Maltego – Data Mining
Nome: Eduardo de Oliveira Cesar
e-mail: papodebola@gmail.com, papodebola@terra.com.br
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
CNPJ: 078.512.603/0001-60
Uma consulta complementar no Registro.br confirma o que encontramos:
Fig.17 – Consulta ao Registro.br
O e-mail do domínio @terra.com.br voltou ao log, graças ao “peso” que o pesquisador
deu às informações do site registro.br.
De posse destas informações, devemos atualizar o log:
16 Tutorial de uso do Maltego – Data Mining
Agora temos várias fontes para iniciar uma nova pesquisa. Vamos criar um novo objeto
chamado “Eduardo de Oliveira Cesar” e fazer novas transformações.
Fig. 18 – Novo Objeto do tipo PERSON
Percebe-se que uma nova caixa de diálogo se abre, questionando sobre informações
adicionais de tentativa de vínculo com algum domínio. No caso, buscamos vínculos com
papodebola.com.br e este foi o domínio preenchido. Os campos destacados NÃO ESTÃO EM
BRANCO. Foram preenchidos com o caráter ESPAÇO, conforme sugere o texto em inglês
quando não temos nada para informar.
Fig. 19 – Preenchendo informações adicionais de vínculo
17 Tutorial de uso do Maltego – Data Mining
A resposta a esta pesquisa foi enriquecedora, pois revela claramente os vínculos já
apontados. Inclusive achamos o e-mail original (papodebola@gmail.com) que iniciou esta
pesquisa.
Fig. 20 – Vínculos estabelecidos e confirmados.
Apesar de parecer ser convincente uma foto com o nome e sobrenome do alvo
procurado, o pesquisador precisa recorrer aos seus critérios antes de aceitar esta informação.
Uma visita ao FaceBook e busca pelo nome mostra um perfil que diverge fortemente dos
temas relacionados ao futebol conforme era esperado. Isto serve para ilustrar que o
pesquisador sempre deve ponderar muito antes de adotar ou não uma nova pista. Um erro
pode levar a caminhos de difícil retorno.
18 Tutorial de uso do Maltego – Data Mining
Para se preparar para um possível contato com o alvo, é melhor que seja direcionado
um e-mail para uma conta pessoal e não uma conta papodebola@gmail.com. Para confirmar
se a conta eduardodeoliveiracesar@gmail pertence mesmo ao alvo e se está ativa, basta
realizar as transformações abaixo:
Fig. 21 – Verificar se o e-mail existe
Fig.22 – Comprovação do vínculo entre o domínio e o e-mail pessoal
Na figura cima, além dos vínculos confirmados, aparecem outras informações que
sugerem uma atividade profissional do alvo: atividade policial. Fato percebido pelos domínios
sociedadepolicial.files.wordpress.com e guardamunicipalnh.ning.com.
19 Tutorial de uso do Maltego – Data Mining
Nome: Eduardo de Oliveira Cesar
Profissões relacionadas: comentarista esportivo, atividade policial (à confirmar)
e-mail: papodebola@gmail.com, papodebola@terra.com.br
Telefone: (0**) ****-**34
Domínios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br
Assuntos de Interesse: futebol
CNPJ: 078.512.603/0001-60
Então, de posse destas novas informações pode-se buscar informações complementares no
Google, bastando entrar com os dados obtidos do log:
Uma informação parecia não estar correta: ao se consultar o link do YouTube que a
pesquisa do Google apontava, foi possível constatar que, no exemplo escolhido ao acaso para
este trabalho, ocorreu um caso de homônimo perfeito. Confrontando a foto exibida na página
da rádio gaúcha onde aparece o Eduardo de Oliveira Cesar, com forte ligação ao futebol, o link
do YouTube mostra uma outra pessoa na reportagem de prisão de foragidos no Rio Grande do
Sul, conforme imagens abaixo:
Fig. 23 – Informações do Google para os possíveis “Eduardo de Oliveira Cesar”, dono do e-mail
papodebola@gmail.com
20 Tutorial de uso do Maltego – Data Mining
Para dirimir este conflito utilizamos um simples artifício de Engenharia Social, mandando um e-
mail para o papodebola@gmail.com, com um assunto fortemente relacionado à futebol onde,
além de obter mais informações, comentamos sobre o caso de homônimo.
Para obter um link, fomos até o site do Milton Neves buscar algum vínculo que desse
credibilidade ao e-mail e achamos este comentário assinado pelo alvo.
Fig.24 – Vínculo obtido em http://terceirotempo.ig.com.br/coluna_materia.php?id=835
Montamos então o seguinte e-mail:
Fig. 25 – Texto de e-mail
21 Tutorial de uso do Maltego – Data Mining
Utilizamos um serviço de envio anônimo de e-mails (Fake E-mails). Este provedor foi
escolhido porque é um dos poucos que não acrescenta um Banner identificador da origem:
Fig. 26 – Fake Mail - http://emkei.cz/
Direcionamos as respostas e os erros de entrega para o e-mail real que foi criado no
Gmail: edsonmoreno.gazeta@gmail.com. Assim, se o alvo responder ao remetente, as
respostas seguirão para este endereço do Gmail.
22 Tutorial de uso do Maltego – Data Mining
4. DATA MINING - Pesquisa de site/domínio
Com a proximidade dos jogos olímpicos que serão realizados no Rio de Janeiro em 2016,
muitos questionam se a cidade estará preparada para esse evento. Com esse pensamento,
resolvemos verificar a vulnerabilidade do domínio do COB (Comitê Olímpico Brasileiro -
www.cob.org.br).
Com o auxilio do Maltego tentaremos identificar alguns servidores no domínio
“cob.org.br”, tais como servidores de e-mail, DNS, FTP, etc.
Fig.1 – Transformação para servidores DNS
A figura a seguir mostra o resultado de alguns servidores encontrados.
Fig.2 - Servidores publicados na WEB
Mesmo sendo uma versão gratuita, o Maltego mostrou um resultado satisfatório e
oferece algumas funções que irá nos ajudar muito em nossa pesquisa. Como por exemplo, a
resolução de endereço IP de um servidor encontrado.
23 Tutorial de uso do Maltego – Data Mining
Fig.3 – Resolvendo endereço IP
Para conferir a veracidade do Sistema, fiz uma consulta no Netcraft (http://news.netcraft.com)
Fig.4 – Resultado da busca no endereço FTP (http://ftp.cob.org.br)
Na fig.2 é possível identificar alguns tipos de servidores pelo nome. Como exemplo o
próprio servidor FTP. Pois se utilizarmos o endereço na internet ele solicitará uma conta para a
autenticação e acesso do mesmo.
Mas usaremos outro servidor de exemplo para que seja possível utilizar mais uma
opção do Maltego. A escolha da transformação To Domain [Sharing this MX] determina quais
domínios utilizam o mesmo nome DNS.
24 Tutorial de uso do Maltego – Data Mining
Fig.5 - Transformação To Domain [Sharing this MX] no objeto srv-correio.cob.org.br
O sistema mostrará mais três domínios, onde é evidente o domínio criado para as
olimpíadas de 2016 aqui no Rio de Janeiro. Os outros dois são de uma empresa responsável
pelo marketing do COB (http://olympomkt.com.br) e outro criado provavelmente para um
comitê das olimpíadas de 2004 em Atenas.
Mas concentrando esforços na busca por informações sobre os jogos de 2016: Existe
uma opção no Maltego que é capaz de nos mostrar documentos hospedados em site web
dentro do domínio.
Fig.6 – Encontrando arquivos e documentos hospedados no domínio.
25 Tutorial de uso do Maltego – Data Mining
Fig.7 – Arquivos e documento encontrados hospedados no domínio.
A maior parte dos arquivos encontrados tem como título o nome de um cargo. Para
visualizar o arquivo hospedado é necessário copiar o endereço da URL que se encontra na
propriedade do objeto. Basta dar um dublo clique em cima do objeto ou selecioná-lo e em
seguida clicar na guia Property View no canto superior direito da janela do sistema.
Fig.8 – Acessando as propriedades do objeto
26 Tutorial de uso do Maltego – Data Mining
Depois de copiar o endereço da URL, acessamos o mesmo e foi possível verificar que se
tratava de um documento descrevendo uma possível vaga de emprego no Comitê Olímpico
Rio 2016
(http://www.rio2016.org.br/sites/default/files/analista_de_infraestrutura_de_ti_junio
r.pdf).
Utilizando a mesma técnica no domínio rio2016.org.br que utilizamos no domínio
anterior (conforme mostrado na Fig. 1) iremos obter o seguinte resultado.
Fig.9 - Servidores publicados na WEB do domínio rio2016.org.br
Agora, é possível verificar que no resultado surgiu um servidor de acesso ao correio
eletrônico pela WEB. Quando acessamos o endereço webmail.rio2016.org.br verificamos que
o servidor de e-mail que eles utilizam provavelmente é um Microsoft Exchange 2007.
27 Tutorial de uso do Maltego – Data Mining
Fig.10 – Página de acesso ao correio eletrônico na WEB do domínio rio2016.org.br
Na maioria das vezes, os administradores de correio Exchange acabam configurando a
conta de e-mail com o mesmo nome que a conta de rede (domínio) para cada conta. Ou seja,
se a conta de acesso a rede corporativa é carlos.nuzman, então o endereço de e-mail ficaria
carlos.nuzman@rio2016.org.br.
Agora que já temos o endereço para acessar o webmail da empresa, falta apenas
encontrar uma conta para este domínio. Com a conta em mão é possível criar uma lista de
senhas (Word List) para em seguida tentar um ataque de força bruta (Brute Force) ou mesmo
engenharia social, conforme mostrado na primeira parte deste trabalho.
Recommended