Hallo liebe Freunde. Heute soll mein Artikel die Funktionalität des Maltego + Social Links-Bundles für eine Geolocation-Suche analysieren. Wie funktioniert es und was können wir in OSINT verwenden? Lass es uns herausfinden.
Die Geolokalisierung spielt in OSINT eine wichtige Rolle. Kein Wunder, dass eine der neuen OSINT-Herausforderungen (Kryptic Ransomware) bei Hack The Box genau damit zusammenhängt, die genauen Koordinaten des Zielhauses zu finden. Die Herausforderung ist sehr interessant, sei nicht faul durchzugehen.
Bevor Sie lesen, empfehle ich Ihnen, sich mit den vorherigen Artikeln aus der Reihe über Maltego vertraut zu machen:
Teil 1 - Was ist Maltego und warum wird es überhaupt benötigt?
Teil 2 - Schnittstelle und Basisgerät
Teil 3 - Maltego und OSINT auf Facebook
Teil 4 - Maltego und OSINT auf VK, Instagram, LinkedIN und andere soziale Netzwerke
Teil 5 - Anwendung des Gesichtserkennungssystems für OSINT in Maltego
Es gibt viele nützliche Informationen.
Also lasst uns darüber hinwegkommen. Die erste mir bekannte Methode ist die Verwendung der nativen Entitäten aus Maltego: Kreisfläche und GPS-Koordinate.
In den Parametern der Entitätsdaten müssen wir die Koordinaten angeben, die unverschämt aus Google Maps entnommen werden können, und den Suchradius, wenn wir den Kreisbereich verwenden.
Für Entitie: GPS Coordinate steht
Folgendes zur Verfügung: [Censys] In IPv4 suchen - Fragen Sie die Censys-Datenbank ab und suchen Sie alle IP-Adressen anhand dieser Koordinaten.
[Facebook] Fotos von Geo - Finden Sie Fotos nach angegebenem Standort.
[Facebook] Nach Orten suchen - Orte nach geografischer Position suchen.
[Facebook] Videos von Geo - Finde alle Videos nach Geolocation.
[Instagram] Media by Geo - Finde alle Mediendateien nach angegebener geografischer Position.
[Snapchat] Snap by Geo - Findet alle Mediendateien nach angegebener Geolocation.
[Twitter] Tweets nach Geo suchen - Finde alle Tweets nach Geolocation.
[Vkontakte] Fotos von Geo Beliebt - Finden Sie beliebte Fotos nach geografischer Position.
[Vkontakte] Fotos von Geo Recent - Finden Sie aktuelle Fotos an der angegebenen geografischen Position.
[Vkontakte] Geschichten von Geo - finden Sie alle Geschichten an der angegebenen Geolokalisierung.
[YouTube] Videos von Geo - Finde alle Videos nach Geolocation.
Es ist auch möglich, Entitie GPS Coordinate in Circular Area umzuwandeln.
Für Entitie: Circular Area steht uns alles zur Verfügung, außer der Arbeit mit der Censys-API.
Für den Test habe ich die Koordinaten des Zentrums des Palastplatzes gewählt. Warum? Wie immer - einfach so.
Am interessantesten ist es zu lernen, wie Transform funktioniert - [Facebook] Suche nach Orten. In Bezug auf Fotos, Videos und Medien denke ich, dass sowieso alles klar ist: Wenn es im sozialen Netzwerk einen Geotag gibt, gibt es einen Treffer im SERP. Keine Tags, nein in den Suchergebnissen.
Konvertieren Sie die GPS-Koordinate in einen Kreisbereich, stellen Sie einen Radius von 1000 Metern ein und führen Sie die Transformation aus. Wir erhalten 94 Plätze aus Facebook-Suchergebnissen.
Mit wenigen Ausnahmen ist alles sehr relevant. Unter den Attraktionen, Clubs, Bars und Restaurants wurden 2 unverständliche Elemente aufgezeichnet.
Der Typ, der sagt, dass man eine Yacht für 1000 Euro und ein Konto namens St. Petersburg mit einem Foto eines zufälligen Typen kaufen kann. Aus irgendeinem Grund entschieden beide, dass sie Unternehmen waren, und registrierten sich auf Facebook als Handelskonto mit der Adresse einer juristischen Person im Bereich des Palastplatzes.
Ansonsten ist alles ganz richtig. Alle Konten haben eine exponierte Adresse in einem Umkreis von 1000 Metern um Dvortsovaya.
Diese beiden sind also eher die Kontrolle von Facebook über die Glaubwürdigkeit von Geschäftskonten als Maltegos Schuld. Geodaten in ihren Konten werden innerhalb von 1000 Metern vom Palastplatz angezeigt.
Probieren wir nun die Fotosuche aus. Die Koordinaten sind laut Google Maps (59.93901,30.315706) das Zentrum des Palastes. Ich habe das Problem bewusst auf 50 Fotos beschränkt, da wir sonst einfach vom Strom von allem, was ich gefunden habe, überwältigt werden.
Und hier hat sich bereits ein bestimmtes Modell herausgebildet, nach dem Facebook das Ergebnis zurückgibt. Zunächst findet das soziale Netzwerk den Ort von "Interesse", der dem Punkt am nächsten liegt, und gibt alle Fotos mit dem entsprechenden Geotag zurück. Da wir das Zentrum des Palastplatzes angegeben haben, ist der Palastplatz laut sozialem Netzwerk die nächstgelegene Marke.
Als Ergebnis erhalten wir alle Fotos, die dieses Tag in der Ausgabe haben.
Um die Hypothese zu bestätigen, nehmen Sie die Koordinaten des COCOCO-Restaurants (59.934991, 30.308709) und versuchen Sie den gleichen Trick, ein Foto zu finden.
Und wir bekommen ein Foto von ... HI SO TERRASSE ... (das ist nicht das, wonach wir gesucht haben, wenn Sie es nicht verstehen).
Kein Halt! Alles ist richtig. Diese Einrichtung befindet sich im selben Gebäude wie das Restaurant COCOCO. Anscheinend zitterte die Hand um ein halbes Grad, als ich Google Maps markierte, um die Koordinaten zu erfassen.
Wie läuft es mit VKontakte? Aber mit unserem geliebten VK ist nicht alles so gut. Die Verbreitung ist einfach wild. Zum Beispiel hier eine Anfrage - nach vorherigen Koordinaten, aber in der Ausgabe eines Fotos, sowohl in einer Entfernung von 200-300 Metern vom Punkt als auch im Allgemeinen mit dem Peterhof-Geotag!
Bei den [YouTube] -Videos von Geo transform sieht es etwas besser aus. Obwohl nicht viel. Die Suchergebnisse umfassten sowohl Videos mit Geotagging für bestimmte Orte in St. Petersburg, einschließlich Geotagging des COCOCO-Restaurants, als auch viele Videos mit Geotagging für RUSSLAND.
Eine weitere Option für die Suche nach Standort ist Entitie: Search Person. Diese Entität wurde für die Personensuche auf Facebook erstellt und verfügt über mehrere Felder in den Eigenschaften. Durch Angabe dieser Felder legen wir die Suchkriterien fest.
Stellen wir uns vor, wir kennen den Namen und die Stadt. Wir setzen die angegebenen Werte und führen die benötigte Transformation aus. Sie können wählen aus:
[Facebook] Benutzer suchen - Benutzersuche;
[Facebook] Benutzer suchen (genau) - eine genaue Suche mit einer Übereinstimmung aller Eingabedaten;
[Facebook] Benutzer suchen (bis zu 60 Minuten) - verzögerte Benutzersuche;
[Facebook] Benutzer suchen (bis zu 60 Minuten) (genau) - eine exakte verzögerte Suche mit einer Übereinstimmung aller Eingabedaten.
Nun, alles ist in Ordnung. Meine Facebook-Seite wird wie erwartet aufgelistet. Die Methode hat sich auf Facebook bewährt und funktioniert einwandfrei. Nun, es sei denn, Sie zählen eine Reihe von Namensvätern, die Sie auf der Suche nach dem gewünschten Konto harken müssen.
Die verzögerte Suche ist in diesem Fall erforderlich, um die Maltego-Funktion mit einem Antwortfenster von 2 Minuten zu umgehen. Es wird verwendet, wenn Sie eine Vielzahl von Informationen durchsuchen müssen. Suchen Sie beispielsweise alle Konten mit der angegebenen Stadt und laden Sie sie in das Diagramm hoch.
Nun zu praktischen Schlussfolgerungen.
Diese Funktionalität kann nicht als unabhängiges Suchelement verwendet werden. Als zusätzlicher Kanal zur Informationsüberprüfung oder beispielsweise als zusätzlicher Untersuchungsvektor kann die Funktionalität erfolgreich angewendet werden.
Persönlich habe ich diese Suchtechnik zweimal verwendet, als es notwendig war, die tatsächliche Ankunft einer Person irgendwo in sozialen Netzwerken zu bestätigen.
Im Rahmen eines Falls wurden Fotos durch Koordinaten über die Entität Circular Area hochgeladen, und dann wurden Fotos aus den sozialen Netzwerken der Frau des Fallobjekts hochgeladen. Maltego hat erwartungsgemäß Verbindungen zwischen übereinstimmenden Fotos hergestellt, und als Ergebnis haben wir das gewünschte Ergebnis erzielt.
Verpassen Sie nicht die folgenden Artikel in der Reihe. Dort werden wir darüber sprechen, Informationen zu Formularen und Geschäften im Dunklen Netz zu finden.
Und noch mehr Materialien und Nachrichten aus der Welt der Informationssicherheit können Sie in unserem Telegrammkanal lesen .