Welche Maltego Transformationen eignen sich am besten für OSINT Recherchen?
Transformationen sind das Herzstück von Maltego. Erst durch sie kann man die auf dem Graphen dargestellten Entitäten in den jeweiligen Datenquellen abfragen. Ich stelle also über die Transformation eine Verbindung von der Entität (zum Beispiel E-Mail-Adresse) zu der Datenquelle (zum Beispiel GitHub) her. Das Ergebnis (User hat einen Account dort) wird mir dann visuell als neue Entität auf dem Graphen dargestellt.
Im Maltego Transform Hub werden derzeit 40+ Transformationspakete angeboten. Für den Bereich der OSINT Recherchen oder Internet Ermittlungen sind davon nicht alle erforderlich.
Meine erste Wahl für Ermittlungen fällt auf das Transformationsangebot von Social Links. Eine gute Übersicht der Funktionen ist hier beim Hersteller einzusehen. Solche professionellen Tools gibt es nicht kostenlos. Deshalb empfehle ich vor der Kaufentscheidung, eine Demo zu buchen und ein Angebot erstellen zu lassen.
Erfahren Sie, warum ich Social Links (täglich) nutze und welche Bereiche die Transformationen abdecken. Abgerundet wird der 2. Teil von diesem Post durch ein paar Tipps & Tricks aus meiner Praxis.
Welche Bereiche deckt Social Links ab?
Social Links beinhaltet derzeit über 800 Transformationen. Diese sind den jeweiligen Entitäten zugeordnet und funktionieren nur damit.
Ich habe das Angebot einmal genauer unter die Lupe genommen und es in verschiedene Kategorien aufgeteilt:
Diese Kategorien passen nicht 100% auf die dort angebotenen Transformationen und es gibt auch einige Überschneidungen. Sie sollen aber dazu dienen, dass man sich so einen besseren Überblick über das Angebot verschaffen kann. Es sollte auch die Entscheidung erleichtern, eventuell einmal eine Testversion auszuprobieren.
Ich stelle nun die einzelnen Kategorien und die dort eingeordneten Transformationssammlungen vor. Es ist hilfreich, wenn man als User die durch die Transformationen abgefragten Datenbanken / Websites kennt. Die konkreten Möglichkeiten der einzelnen Angebote sind zu umfangreich, um weiter darauf in diesem Post einzugehen. Im Rahmen meiner Workshops vertiefen wir diese Themen allerdings. Wie schon erwähnt, ist es wichtig, die Transformationen zu verstehen, damit die Ergebnisse richtig interpretiert werden können.
Soziale Netzwerke
Zu Facebook werden derzeit ca. mehr als 120 Transformationen angeboten. Von der Analyse von Freundeslisten, über Recherchen nach Personen, Gruppen oder Posts bis hin zur Auswertung umfangreicher Facebook Reports. Hier lassen sich viele Aufgaben für den Ermittler schnell und einfach erledigen.
Ein echtes Highlight ist die Suche nach „gemeinsamen Freunden“ (Mutual Friends). Sehr hilfreich bei nicht sichtbaren Freundeslisten.
In Foursquare lassen sich Profile und User finden. Möglich sind auch Suchen über die Telefonnummer, E-Mail und den Alias.
Im Bereich von GitHub lassen sich intensive Recherchen mit den Transformationen durchführen. Beispielsweise wird die Suche zu Dateien, GitHub Repositories, Contributors und weiteren Informationen ermöglicht.
Transformationen zur Recherche auf Instagram lassen Nachforschungen wie etwa im Bereich „User Details“, „Comments“, „User Following“ oder „Search Person“ zu.
Ermittlungen in LinkedIn sind aktuell ein schwieriges Thema. Das Netzwerk schottet sich stark ab und Zugänge/Recherchen von außen sind nicht ohne weiteres machbar. Dennoch bieten hier Transformationen zu den Themen „Search Person by Company“, „Check if Profile exists“ oder „Search Person“ sinnvolle Unterstützungen an.
Weitere Transformationen greifen auf Daten von MySpace, Snapchat und sozialen Netzwerke in Russland zu.
Auch zu Twitter stehen viele Transformationen zur Verfügung. So werden „Advanced Search“ angeboten, User Suche über den Alias, Recherche nach Firmen, Tweets finden und natürlich Analyse von „Follower/Following“. Mithilfe dieser Transformationen wird eine Linkanalyse auf Verbindungen/Schnittmengen auf einfache Art und Weise ermöglicht.
Ein wichtiges Netzwerk für ganz unterschiedliche Ermittlungen ist Vkontakte. Vk.com ist ein mehrsprachiges soziales Netzwerk, das aus Russland stammt. Es wird häufig als russische Facebook Alternative bezeichnet, die auch als Sammelbecken für Extremisten jeder Couleur dient.
Die Social Links Transformationen ermöglichen Abfragen wie z. B. „Search Users“, „Friends“, „Group Members“, „User Details“, „User Followers“ und „User Following“.
Diese Abfragen sind insgesamt ähnlich umfangreich wie die Facebook Transformationen.
Social Links Transformationen zu Xing unterliegen ähnlichen Herausforderungen wie die bei LinkedIn. Zumindest sind aber Suchen nach „Company“, „User by Name“, „User Details“ oder „Company Details“ möglich.
Companies
Die Transformationen unterstützen die (weltweiten) Recherchen zu Unternehmen und natürlich auch zu den damit verbundenen Personen. Das wäre dann auch gleich ein Beispiel für die eben angesprochene Schnittmenge, in diesem Fall zu Personenrecherchen. Bei unseren Ermittlungen interessiert mich bei Personen immer auch, ob diese Verbindungen zu Unternehmen haben.
Social Links bietet hier Transformationen zu OpenCorporates an und ermöglicht dadurch den Zugriff auf über 180 Millionen Firmen mit mehr als 230 Millionen Personen (Officers). Nicht alle Länder sind erfasst, aber in dieser Übersicht sind die genauen Zahlen einsehbar.
Weitere Abfragen greifen auf die Daten des Companies House, des für Großbritannien zuständigen Handelsregisters, zu. Die Transformationen ermöglichen die Suche nach Firmen und Personen.
Weitere vergleichbare Abfragen sind über Verbindungen zu den Ermittlungen der Organized Crime and Corruption Reporting Project (OCCRP) und der Offshore Leaks Database des „The International Consortium of Investigative Journalists“ möglich.
Eine weitere Quelle ist Sqoop (Zugang nur für Journalisten). Dieser Service überwacht (Federal) Gerichtsfälle und SEC Dokumente in den USA. Darüber hinaus auch Patente und Firmenveröffentlichungen. Die Details sind hier nachzulesen. Für die Transformationen ist die Angabe der Zugangsdaten (Log-in) zu der Website erforderlich.
Das letzte Paket dieser Kategorie ist DocumentCloud. Die API-Schnittstelle erlaubt den Transformationen Abfragen zu Entitäten wie Company, Email Address, Person, Website und Document.
Cryptocurrency
Bloxy bietet Blockchainanalysen, zum Beispiel mit Zugriff auf Ethereum Blockchain Daten. Die Transformationen benötigen einen zusätzlichen API Key von Bloxy: Damit sind dann Abfragen zu Ethereum Adressen, Token und Transaktionen möglich. Zum Beispiel zu: „Token Holder“, „Ether Final Destination“, „All Money Transfers“.
Mit Zugriff auf BitcoinWhosWho werden weitere interessante Informationsangebote erschlossen.
Domain – IP-Adresse – Threat Intelligence
In diese Kategorie habe ich einige Transformationspakete eingeordnet, die für Ermittlungen in Bezug zu Websites, Domains und IP-Adressen sehr hilfreich sein können. Vor allem in Ergänzung zu den vorhandenen CTAS Transformationen von Paterva.
Censys hat sich seit 2015 die Aufgabe gestellt, „eine komplette Datenbank aller Geräte im Internet“ zu erstellen. Über Scanner wie Zmap wird zum Beispiel wöchentlich ein Scan des IPv4 Adressbereiches durchgeführt. Der Zugang zu vielen (nicht allen) Daten ist frei und über einen API-Key können die Social Links Transformationen diese Datenbank abfragen. Für OSINT-Analysten und Ermittler ist Censys eine wichtige Quelle, mit der man sich unbedingt näher beschäftigen sollte.
Bei unseren Ermittlungen setzen wir gerne auf die Abfragen der Datenbanken von SecurityTrails.
SecurityTrails wurde 2017 mit dem Ziel gegründet, die größte Sammlung von IP-Adressen, Domänennamen und WHOIS-Daten zu erstellen. Für die Social Links Transformationen wird ein API Key von Security Trails benötigt.
Somit lassen sich Abfragen wie zum Beispiel zu historischen DNS Daten, „Whois History“, „Associate Domains“, „Search Domain by Whois Email” oder „Search Domains by IP“ erstellen.
ZoomEye ist eine Cyberspace-Suchmaschine, die Informationen über Geräte, Websites, Dienste und Komponenten usw. aufzeichnet. Auch für diese Transformationen werden die Log-in-Daten des bei ZoomEye registrieren Users benötigt. Die Datenbank ermöglicht unter anderem die kostenlose Abfrage zu Firmen, DNS Namen, Domain, IPv4 Adressen und ähnlichen Informationen.
Shodan ist eine der bekanntesten Suchmaschinen für Computer und Dienste, die mit dem Internet verbunden sind. Über einen (zusätzlichen) API Key lassen sich auch hier zahlreiche Abfragen durchführen. Startentitäten sind die Domain, IPv4 Adresse und die „Phrase“ (für Keyword Recherche).
Weitere Transformationen in dieser Kategorie ermöglichen dann Abfragen zu der Entität URL (also eine einzelne Webpage), wie z.B: „External URL“ und „Internal URL“.
Erwähnenswert ist auch der Zugriff auf Abfragen der Datenbank von Vulners. Hier geht es um das Thema „Vulnerabilities & Exploits Database“. Sicher nicht unbedingt etwas für jede Ermittlung, aber zu diesem Spezialthema eine gute Quelle.
uTorrent kann mit den Social Links Transformationen nach Torrents, Peers und IPs durchsucht werden.
Fazit
Maltego braucht die entsprechenden Transformationen um seine ganze Vielfalt im Einsatz bei OSINT Recherchen und Internet Ermittlungen zu entfalten. Die Transformationen von Social Links erweisen sich hierbei als wichtiger Tool der die Open Source Intelligence Ermittlungen auf den Punkt bringt.
Ein unverbindlicher Test empfiehlt sich, der jederzeit über sales@mtg-bi.com angefordert werden kann.
Der 2. Teil von diesem Post wird in meinem nächsten Beitrag erfolgen, wo ich dann weitere Einsatzmöglichkeiten von Social Links im Bereich der OSINT Ermittlungen aufzeichnen werde. Hierbei darf natürlich auch nicht das berüchtigte Darknet fehlen.
Um diesen Post in den richtigen Kontext zustellen:
Die Social Links Lizenzen sind ein fester Bestandteil unserer Ermittlungen und werden immer wieder entsprechend ergänzt. Für meine Empfehlungen bekomme ich keine Provision. Als regelmäßiger Feedbackgeber arbeite ich eng mit dem Hersteller zusammen und bekomme so „meine“ Lösungen. Hierdurch können dann wiederum andere Anwender profitieren.
Sie wollen Ihren Fall durch professionelle Ermittlungen klären lassen? Kontaktieren Sie uns und wir finden für Sie eine passgenaue Lösung
– unentgeltlicher Kostenvoranschlag natürlich inklusive!
