Hola queridos amigos. Hoy el propósito de mi artículo será analizar la funcionalidad del paquete Maltego + Social Links para una búsqueda de geolocalización. ¿Cómo funciona y qué podemos utilizar en OSINT? Vamos a averiguarlo.
La geolocalización juega un papel importante en OSINT. No es de extrañar que uno de los nuevos desafíos de OSINT (Kryptic Ransomware) en Hack The Box esté vinculado precisamente a encontrar las coordenadas exactas de la casa del objetivo. El desafío es muy interesante, no seas flojo en pasar.
Antes de leer, te recomiendo que te familiarices con los artículos anteriores de la serie sobre Maltego:
Parte 1 - Qué es Maltego y por qué es necesario
Parte 2 - Interfaz y dispositivo básico
Parte 3 - Maltego y OSINT en Facebook
Parte 4 - Maltego y OSINT en VK, Instagram, LinkedIN y otras redes sociales
Parte 5 - Aplicación del sistema de reconocimiento facial para OSINT en Maltego
Existe mucha información útil.
Así que superémoslo. El primer método que conozco es usar las Entidades nativas de Maltego: Área Circular y Coordenada GPS.
En los parámetros de los datos de las Entidades, necesitamos especificar las coordenadas que se pueden tomar imprudentemente de Google Maps, y el radio de búsqueda si usamos el Área Circular.
Para Entitie: GPS Coordinate, tenemos disponible:
[Censys] Buscar en IPv4 - haga una consulta a la base de datos Censys y encuentre todas las direcciones IP por estas coordenadas.
[Facebook] Fotos de Geo: busque fotos por geolocalización especificada.
[Facebook] Buscar lugares: busque lugares por geolocalización especificada.
[Facebook] Vídeos por ubicación geográfica: encuentre todos los vídeos por ubicación geográfica.
[Instagram] Media by Geo: busque todos los archivos multimedia por geolocalización especificada.
[Snapchat] Snap by Geo: encuentra todos los archivos multimedia por geolocalización especificada.
[Twitter] Buscar tweets por ubicación geográfica: encuentre todos los tweets para una ubicación geográfica determinada.
[Vkontakte] Fotos de Geo Popular: busque fotos populares por geolocalización especificada.
[Vkontakte] Fotos de Geo Recent: busque fotos recientes en la geolocalización especificada.
[Vkontakte] Historias de Geo: encuentre todas las historias en la geolocalización especificada.
[YouTube] Vídeos por ubicación geográfica: encuentre todos los vídeos por ubicación geográfica.
También es posible convertir Entitie GPS Coordinate en Área circular.
Para Entitie: Circular Area, todo está disponible para nosotros, excepto para trabajar con la API Censys.
Para la prueba, elegí las coordenadas del centro de la Plaza del Palacio. ¿Por qué? Como de costumbre, así como así.
Lo más interesante es aprender cómo funciona Transform - [Facebook] Búsqueda de lugares. En cuanto a fotos, videos y medios, creo que todo está claro de todos modos: si hay una geoetiqueta en la red social, hay un acierto en la SERP. Sin etiquetas, no en los resultados de búsqueda.
Convierta las coordenadas GPS en un área circular, establezca un radio de 1000 metros y ejecute la transformación. Obtenemos 94 lugares de los resultados de búsqueda de Facebook.
Todo es bastante relevante, con algunas excepciones. Entre las atracciones, discotecas, bares y restaurantes, se registraron 2 elementos incomprensibles.
El tipo que dice que se puede comprar un yate por 1000 euros y una cuenta llamada San Petersburgo con una foto de algún tipo cualquiera. Por alguna razón, ambos decidieron que eran empresas y se registraron en Facebook como una cuenta comercial con la dirección de una persona jurídica en la zona de Palace Square.
De lo contrario, todo es bastante cierto. Todas las cuentas tienen una dirección expuesta dentro de un radio de 1000 metros de Dvortsovaya.
Entonces, estos dos son más una supervisión de Facebook con respecto a la credibilidad de las cuentas comerciales que la culpa de Maltego. Los datos geográficos de sus cuentas se muestran a 1000 metros de la Plaza del Palacio.
Ahora probemos la búsqueda de fotos. Las coordenadas son el centro del palacio según Google Maps (59.93901,30.315706), delimité deliberadamente el tema a 50 fotos, porque de lo contrario simplemente estaremos abrumados por el flujo de todo lo que encontré.
Y aquí ya ha comenzado a surgir un cierto modelo, según el cual Facebook devuelve el resultado. Inicialmente, la red social busca el lugar de "interés" más cercano al punto y devuelve todas las fotos que tienen la etiqueta geográfica correspondiente. Como indicamos el centro de la Plaza del Palacio, la marca más cercana, según la red social, es la Plaza del Palacio.
Como resultado, obtenemos todas las fotos que tienen esta etiqueta en la salida.
Bueno, para confirmar la hipótesis, tome las coordenadas del restaurante COCOCO (59.934991, 30.308709) e intente el mismo truco para encontrar una foto.
Y nos llega una foto de ... HOLA TERRAZA ... (esto no es lo que estábamos buscando, si no lo entiendes).
¡No te detengas! Todo es correcto. Este establecimiento está ubicado en el mismo edificio que el restaurante COCOCO. Al parecer, la mano temblaba medio grado cuando puse la marca en Google Maps para captar las coordenadas).
¿Cómo van las cosas con VKontakte, preguntas? Pero con nuestro querido VK, no todo es tan bueno. La propagación es simplemente salvaje. Por ejemplo, aquí hay una solicitud, por coordenadas anteriores, pero en el tema de una foto, tanto a una distancia de 200-300 metros del punto, como en general con la etiqueta geográfica de Peterhof.
En cuanto a la transformación de videos de [YouTube] de Geo, las cosas están un poco mejor. Aunque no mucho. Los resultados de la búsqueda incluyeron videos con geoetiquetado de lugares específicos en San Petersburgo, incluido el geoetiquetado del restaurante COCOCO, y muchos videos con geoetiquetado RUSIA.
Otra opción para buscar por ubicación es Entitie: Search Person. Esta Entidad está hecha para que la gente busque en Facebook y tiene varios campos en las propiedades. Al especificar estos campos, establecemos los criterios de búsqueda.
Imaginemos que conocemos el nombre y la ciudad. Establecemos los valores indicados y ejecutamos la Transformación que necesitamos. Puede elegir entre:
[Facebook] Buscar usuarios: búsqueda de usuarios;
[Facebook] Usuarios de búsqueda (exacta): búsqueda exacta con coincidencia de todos los datos de entrada;
[Facebook] Buscar usuarios (hasta 60 minutos) - búsqueda de usuario diferida;
[Facebook] Usuarios de búsqueda (hasta 60 minutos) (Exacto): una búsqueda diferida exacta con una coincidencia de todos los datos de entrada.
Bueno, todo está bien. Mi página de Facebook aparece como se esperaba. El método ha sido probado en Facebook y funciona a la perfección. Bueno, a menos que cuentes un montón de tocayos, que tienes que rastrillar en busca de la cuenta deseada.
La búsqueda diferida en este caso es necesaria para evitar la función de Maltego de tener una ventana de respuesta de 2 minutos. Se utiliza cuando necesita buscar en una gran variedad de información. Por ejemplo, busque todas las cuentas con la ciudad especificada y cárguelas en el gráfico.
Ahora a las conclusiones prácticas.
Esta funcionalidad no se puede utilizar como un elemento de búsqueda independiente. Como canal adicional de verificación de información o, por ejemplo, vector adicional de investigación, la funcionalidad se puede aplicar con éxito.
Personalmente, utilicé esta técnica de búsqueda 2 veces, cuando era necesario confirmar en las redes sociales la llegada real de una persona a algún lugar.
En el marco de uno de los casos, se subieron fotos por coordenadas a través de la entidad Área Circular, y luego se subieron fotos desde las redes sociales de la esposa del objeto del caso. Maltego, como se esperaba, construyó conexiones entre las fotos emparejadas y, como resultado, obtuvimos el resultado deseado.
No se pierda los siguientes artículos de la serie. Allí hablaremos sobre buscar información en formularios y tiendas en la Dark Net.
E incluso se pueden leer más materiales y noticias del mundo de la seguridad de la información en nuestro canal de telegramas.