Bonjour chers amis. Aujourd'hui le but de mon article sera d'analyser les fonctionnalités du bundle Maltego + Social Links pour une recherche de géolocalisation. Comment ça marche et que pouvons-nous utiliser dans OSINT? Découvrons-le.
La géolocalisation joue un rôle important dans OSINT. Pas étonnant que l'un des nouveaux défis OSINT (Kryptic Ransomware) sur Hack The Box soit spécifiquement lié à la recherche des coordonnées exactes de la maison de la cible. Le défi est très intéressant, ne soyez pas paresseux pour le relever.
Avant de lire, je vous recommande de vous familiariser avec les articles précédents de la série sur Maltego:
Partie 1 - Qu'est-ce que Maltego et pourquoi est-il nécessaire?
Partie 2 - Interface et appareil de base
Partie 3 - Maltego et OSINT sur Facebook
Partie 4 - Maltego et OSINT sur VK, Instagram, LinkedIN et autres réseaux sociaux
Partie 5 - Application du système de reconnaissance faciale pour OSINT à Maltego
Il y a beaucoup d'informations utiles.
Alors passons au-dessus. La première méthode que je connais utilise les entités natives de Maltego: zone circulaire et coordonnées GPS.
Dans les paramètres des données Entités, nous devons spécifier les coordonnées qui peuvent être impudemment extraites de Google Maps, et le rayon de recherche si nous utilisons la zone circulaire.
Pour Entitie: GPS Coordinate, nous disposons de:
[Censys] Search in IPv4 - faites une requête dans la base de données Censys et trouvez toutes les adresses IP par ces coordonnées.
[Facebook] Photos by Geo - trouvez des photos par géolocalisation spécifiée.
[Facebook] Rechercher des lieux - trouver des lieux par géolocalisation spécifiée.
[Facebook] Vidéos par géo - Retrouvez toutes les vidéos par géolocalisation.
[Instagram] Media by Geo - trouve tous les fichiers multimédias par géolocalisation spécifiée.
[Snapchat] Snap by Geo - Trouvez tous les fichiers multimédias par géolocalisation spécifiée.
[Twitter] Rechercher des tweets par géolocalisation - Trouvez tous les tweets par géolocalisation.
[Vkontakte] Photos par Geo Popular - trouvez des photos populaires par géolocalisation spécifiée.
[Vkontakte] Photos par Geo Recent - trouvez des photos récentes à une géolocalisation spécifiée.
[Vkontakte] Stories by Geo - trouve toutes les histoires à la géolocalisation spécifiée.
[YouTube] Vidéos par géolocalisation - Trouvez toutes les vidéos par géolocalisation.
Il est également possible de convertir les coordonnées GPS de l'entité en zone circulaire.
Pour Entitie: Circular Area, tout est à notre disposition, sauf pour travailler avec l'API Censys.
Pour le test, j'ai choisi les coordonnées du centre de la place du Palais. Pourquoi? Comme d'habitude - juste comme ça.
La chose la plus intéressante est d'apprendre comment fonctionne Transform - [Facebook] Recherche de lieux. Concernant les photos, les vidéos et les médias, je pense que tout est clair quand même: s'il y a une géolocalisation sur le réseau social, il y a un hit dans le SERP. Il n'y a pas de balise, non dans les résultats de recherche.
Convertissez les coordonnées GPS en zone circulaire, définissez un rayon de 1000 mètres et commencez la transformation. Nous obtenons 94 lieux à partir des résultats de recherche Facebook.
Tout est assez pertinent, à quelques exceptions près. Parmi les attractions, clubs, bars et restaurants, 2 éléments incompréhensibles ont été enregistrés.
Le gars qui dit que vous pouvez acheter un yacht pour 1000 euros et un compte appelé Saint-Pétersbourg avec une photo d'un mec au hasard. Pour une raison quelconque, ils ont tous deux décidé qu'ils étaient des entreprises et se sont enregistrés sur Facebook en tant que compte commercial avec l'adresse d'une personne morale dans le quartier de la place du Palais.
Sinon, tout est tout à fait vrai. Tous les comptes ont une adresse exposée dans un rayon de 1000 mètres de Dvortsovaya.
Ces deux éléments relèvent donc davantage de la surveillance de Facebook concernant la crédibilité des comptes commerciaux que de la faute de Maltego. Les géodonnées de leurs comptes sont affichées à moins de 1000 mètres de la place du Palais.
Essayons maintenant la recherche de photos. Les coordonnées sont le centre du palais selon Google Maps (59.93901,30.315706), j'ai volontairement limité le problème à 50 photos, car sinon nous serons simplement submergés par le flux de tout ce qui a été trouvé.
Et ici un certain modèle a déjà commencé à émerger, selon lequel Facebook renvoie le résultat. Dans un premier temps, le réseau social trouve le lieu d '"intérêt" le plus proche du point et renvoie toutes les photos qui ont la géolocalisation correspondante. Puisque nous avons indiqué le centre de la place du Palais, la marque la plus proche, selon le réseau social, est la place du Palais.
En conséquence, nous obtenons toutes les photos qui ont cette balise dans la sortie.
Eh bien, pour confirmer l'hypothèse - nous prenons les coordonnées du restaurant COCOCO (59.934991, 30.308709) et essayons la même astuce en trouvant une photo.
Et on obtient une photo de ... HI SO TERRACE ... (ce n'est pas ce que nous cherchions, si vous ne comprenez pas).
Pas d'arrêt! Tout est correct. Cet établissement est situé dans le même bâtiment que le restaurant COCOCO. Apparemment, la main a tremblé d'un demi-degré lorsque j'ai mis la marque sur Google Maps afin de saisir les coordonnées).
Comment ça va avec VKontakte, demandez-vous? Mais avec notre bien-aimé VK, tout n'est pas si bon. La propagation est tout simplement sauvage. Par exemple, voici une demande - par coordonnées précédentes, mais dans l'émission d'une photo, à la fois à une distance de 200-300 mètres du point, et en général avec la géolocalisation de Peterhof!
Quant à la transformation [YouTube] Videos by Geo, les choses vont un peu mieux. Bien que pas grand chose. Les résultats de la recherche comprenaient à la fois des vidéos avec géolocalisation de lieux spécifiques à Saint-Pétersbourg, y compris la géolocalisation du restaurant COCOCO, et de nombreuses vidéos avec géolocalisation RUSSIE.
Une autre option de recherche par emplacement est Entité: Rechercher une personne. Cette Entité est conçue pour les recherches de personnes sur Facebook et comporte plusieurs champs dans les propriétés. En spécifiant ces champs, nous définissons les critères de recherche.
Imaginons que nous connaissions le nom et la ville. Nous définissons les valeurs indiquées et exécutons la transformation dont nous avons besoin. Vous pouvez choisir parmi:
[Facebook] Rechercher des utilisateurs - recherche d'utilisateurs;
[Facebook] Rechercher des utilisateurs (Exact) - une recherche exacte avec une correspondance de toutes les données d'entrée;
[Facebook] Recherche d'utilisateurs (jusqu'à 60 minutes) - recherche d'utilisateurs différée;
[Facebook] Rechercher des utilisateurs (jusqu'à 60 minutes) (Exact) - une recherche différée exacte avec une correspondance de toutes les données d'entrée.
Eh bien, tout va bien. Ma page Facebook est répertoriée comme prévu. La méthode a été essayée et testée sur Facebook et fonctionne parfaitement. Eh bien, sauf si vous comptez un tas de homonymes, qui devront ratisser à la recherche du compte souhaité.
La recherche différée dans ce cas est nécessaire pour contourner la fonction Maltego en ayant une fenêtre de réponse de 2 minutes. Il est utilisé si vous avez besoin de rechercher dans un large éventail d'informations. Par exemple, recherchez tous les comptes avec la ville spécifiée et téléchargez-les dans le graphique.
Passons maintenant aux conclusions pratiques.
Cette fonctionnalité ne peut pas être utilisée comme élément de recherche indépendant. En tant que canal supplémentaire de vérification des informations ou, par exemple, vecteur d'investigation supplémentaire, la fonctionnalité peut être appliquée avec succès.
Personnellement, j'ai utilisé cette technique de recherche 2 fois, alors qu'il fallait confirmer l'arrivée effective d'une personne quelque part sur les réseaux sociaux.
Dans le cadre d'un cas, des photos ont été téléchargées par coordonnées via l'entité Circular Area, puis des photos ont été téléchargées à partir des réseaux sociaux de l'épouse de l'objet du cas. Maltego, comme prévu, a établi des connexions entre les photos correspondantes et, par conséquent, nous avons obtenu le résultat souhaité.
Ne manquez pas les articles suivants de la série. Là, nous parlerons de la recherche d'informations sur les formulaires et les magasins dans le Dark Net.
Et encore plus de documents et de nouvelles du monde de la sécurité de l'information peuvent être lus sur notre chaîne de télégrammes.