Здравствуйте, дорогие друзья. Сегодня целью моей статьи будет разбор функционала связки Maltego + Social Links на предмет поиска по геолокации. Как это работает и что мы сможем применять в OSINT? Давайте разбираться.
Геоположение играет не последнюю роль в OSINT. Не зря на Hack The Box один из новых OSINT челленджей (Kryptic Ransomware) завязан именно на поиске точных координат дома цели. Челлендж очень интересный, не поленитесь пройти.
Перед прочтением рекомендую ознакомиться с предыдущими статьями из цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно
Часть 2 — Интерфейс и базовое устройство
Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Там много полезной информации.
Итак, преступим. Первый метод, который мне известен — это использование родных Entities от Maltego: Circular Area и GPS Coordinate.
В параметрах данных Entities нам нужно указать координаты, которые можно нагло взять из Google Maps, и радиус охвата поиска, если мы используем Circular Area.
Для Entitie: GPS Coordinate нам доступно:
[Censys] Search in IPv4 — сделать запрос к базе Censys и найти все IP адреса по данным координатам.
[Facebook] Photos by Geo — найти фото по указанному геоположению.
[Facebook] Search for Places — найти места по указанному геоположению.
[Facebook] Videos by Geo — найти все видео по указанному геоположению.
[Instagram] Media by Geo — найти все медиафайлы по указанному геоположению.
[Snapchat] Snap by Geo — найти все медиафайлы по указанному геоположению.
[Twitter] Search Tweets by Geo — найти все твиты по указанному геоположению.
[Vkontakte] Photos by Geo Popular — найти популярные фото по указанному геоположению.
[Vkontakte] Photos by Geo Recent — найти недавние фото по указанному геоположению.
[Vkontakte] Stories by Geo — найти все сторис по указанному геоположению.
[YouTube] Videos by Geo — найти все видео по указанному геоположению.
Также имеется возможность преобразовать Entitie GPS Coordinate в Circular Area.
Для Entitie: Circular Area нам доступно все тоже самое, за исключением работы с API Censys.
Для теста я выбрал координаты центра Дворцовой площади. Почему? Как обычно — просто так.
Интереснее всего узнать, как работает Transform — [Facebook] Search for Places. По поводу фото, видео и медиа, думаю и так все понятно: есть геометка в соцсети — есть попадание в выдачу. Метки нет, нет в выдаче.
Конвертируем GPS Coordinate в Circular Area, выставляем радиус 1000 метров и запускаем трансформ. Получаем 94 места из поисковой выдачи Facebook.
Все достаточно релевантно, за некоторыми исключениями. Среди достопримечательностей, клубов, баров и ресторанов записалось 2 непонятных элемента.
Парень, который рассказывает, что можно купить яхту за 1000 евро и аккаунт, который называется Санкт-Петербург с фото какого-то рандомного чувака. Оба почему-то решили, что они компании и зарегистрировались на Facebook как коммерческий аккаунт с выставлением адреса юрлица в районе Дворцовой площади.
В остальном все достаточно верно. Все аккаунты имеют выставленный адрес в радиусе 1000 метров от Дворцовой.
Так что эти двое — больше недосмотр Facebook относительно достоверности коммерческих аккаунтов, чем ошибка Maltego. Геоданные у них в аккаунтах выставлены в пределах 1000 метров от Дворцовой.
Теперь опробуем поиск фото. Координаты — центр дворцовой по версии Google Maps (59.93901,30.315706), выдачу я специально ограничил на 50 фото, поскольку иначе нас просто захлестнет потоком всего найденного.
И тут уже начала вырисовываться некая модель, по которой Facebook возвращает результат. Изначально соцсеть находит ближайшее к точке место «интереса» и возвращает все фото, которые имеют соответствующую геометку. Так как мы указали центр Дворцовой площади, то и ближайшая метка по мнению соцсети — это Palace Square.
В итоге мы получаем в выдачу все фото, которые имеют данную метку.
Ну и в подтверждения гипотезы — возьмем координаты ресторана COCOCO (59.934991, 30.308709) и попробуем тот же трюк с поиском фото.
И получаем фото с … HI SO TERRACE … (это не то, что мы искали, если вы не поняли).
А нет, СТОП! Все верно. Данное заведение находится в одном доме с рестораном COCOCO. Видимо, рука дрогнула на пол градуса, когда метку на Google Maps ставил, чтобы координаты поймать).
А как дела со ВКонтакте, спросите вы? А вот с нашим любимым ВК все не так хорошо. Разброс просто дикий. Вот, например, запрос — по предыдущим координатам, а в выдаче фото, как и на расстоянии 200-300 метров от точки, так и вообще с геометкой Петергоф!
Что касается трансформа [YouTube] Videos by Geo — то тут дела чуточку лучше. Хотя и не сильно. В выдачу попало как видео с геометками конкретных мест в Санкт-Петербурге, в том числе и с геометкой ресторана COCOCO, так и много видео с геометкой РОССИЯ.
Еще к вариантам поиска по местоположению можно отнести Entitie: Search Person. Эта Entitie сделана для поиска человека в Facebook и имеет несколько полей в свойствах. Указав эти поля, мы задаем критерии поиска.
Представим, что нами известно ФИО и город. Задаем указанные значения и запускаем нужный нам Transform. На выбор доступно:
[Facebook] Search Users — поиск пользователей;
[Facebook] Search Users (Exact) — точный поиск с совпадением всех вводных данных;
[Facebook] Search Users (Up to 60 mins) — отложенный поиск пользователей;
[Facebook] Search Users (Up to 60 mins) (Exact) — точный отложенный поиск с совпадением всех вводных данных.
Ну и тут все ОК. Моя страница на Facebook есть в выдаче, как и предполагалось. Метод, проверенный и на Facebook работает без осечек. Ну если только не считать кучу однофамильцев, которую придется разгребать в поисках искомого аккаунта.
Отложенный поиск в данном случае нужен, чтобы обойти особенность Maltego по наличию окна ответа в 2 минуты. Применяется, если требуется выполнить поиск по большому массиву информации. Например, найти все аккаунты с указанным городом и выгрузить их на граф.
Теперь к практическим выводам.
Как самостоятельный элемент поиска данный функционал использоваться не может. Как дополнительный канал проверки информации или, например, дополнительный вектор расследования функционал может быть успешно применен.
Лично я применял эту методику поиска 2 раза, когда нужно было подтвердить по соцсетям фактическое прибывание человека где-то.
В рамках одного кейса были выгружены фото по координатам через сущность Circular Area, а потом были выгружены фото из соцсетей жены объекта кейса. Maltego, как и полагается, построил связи между совпавшими фото и, как итог, мы получили нужный результат.
Не пропустите следующие статьи цикла. Там мы поговорим о поиске информации на формах и магазинах в Dark Net.
А еще больше материалов и новостей из мира ИБ можно почитать в нашем телеграм-канале.