DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dark Net — это такой же интернет, но живет он в своем первозданном и незамутненном корпоративным и госрегулированием виде.
И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.
В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.
Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.
Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.
Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).
Используя
Для
Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через
Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов
Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinka87.
Запускаем
А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!
Давайте проверим что пишет данный пользователь. Для этого запускаем
А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.
Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.
Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.
И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.
PGP ключ, который смог
Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.
— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в
Вуаля! Мы имеем адрес электронной почты.
Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем
И, как итог, получаем аккаунт в Facebook.
Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем
Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим
Еще поиск товаров можно выполнить от
Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.
Вот и все на сегодня. Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь. Ну а если хочется почитать про самые интересные новости из мира ИБ и технологий, приходите в наш уютный тг-канал.
И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.
Перед прочтением рекомендую ознакомиться с предыдущими статьями цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно
Часть 2 — Интерфейс и базовое устройство
Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Часть 6 — Поиск информации с применением геолокации
Там много полезной информации.
Disclaimer
Для корректной демонстрации механик я буду использовать уже известные мне рабочие примеры по поиску информации. Они не являются реальными в полной мере, однако являются крайне репрезентативными. Вся информация, представленная в данной статье, носит ознакомительный характер. Для повторения указанных методик Вам потребуется связка из Maltego с плагином Social Links.
Ну и будем честны: OSINT по DarkNet-форумам, это не поиск своих бывших одноклассников в ВК и не то, чем вы станете заниматься в рамках стандартных кейсов по OSINT.
Disclaimer
Для корректной демонстрации механик я буду использовать уже известные мне рабочие примеры по поиску информации. Они не являются реальными в полной мере, однако являются крайне репрезентативными. Вся информация, представленная в данной статье, носит ознакомительный характер. Для повторения указанных методик Вам потребуется связка из Maltego с плагином Social Links.
Ну и будем честны: OSINT по DarkNet-форумам, это не поиск своих бывших одноклассников в ВК и не то, чем вы станете заниматься в рамках стандартных кейсов по OSINT.
В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.
Проверка благонадежности сотрудников
Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.
Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.
Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).
Используя
Entitie: Search Person мы запускаем Transform: [Facebook] Search Users. Получаем аккаунт Тины в Facebook.
Для
Entitie: Email Address мы стартуем Transform: [Facebook] Lookup By Email. Малтиго добросовестно находит тот же аккаунт, чем подтверждает, что это нужный нам человек.
Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через
Transform: [Facebook] Get User Details. Получаем дополнительную информацию о месте работы, учебы, проживания (если данная информация заполнена в профиле фейсбук). Бонусом получаем связанный Инстаграм-аккаунт.
Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов
Transform: [Convert] To Entities From Profile, чтобы получить предполагаемые Alias’ы человека (ну или если по-простому — предположительные никнеймы).
Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinka87.
Запускаем
Transform: [Darknet] Search User по обоим Alias и смотрим результат.
А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!
Давайте проверим что пишет данный пользователь. Для этого запускаем
Transform: [Darknet] User Posts.
А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.
Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.
Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.
И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.
PGP ключ, который смог
Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.
— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в
Entitie: PGP Open Key, мы запускаем магию посредством Transform: [Convert] PGP To Email.
Вуаля! Мы имеем адрес электронной почты.
Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем
Transform: [Facebook] Lookup By Email.
И, как итог, получаем аккаунт в Facebook.
Поиск информации на форумах DarkNet по ключевым словам и фразам
Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем
Entitie: Phrase и задаем ей значение искомого слова/предложения. Применяем Transform: [Darknet] Search Posts и получаем выборку по постам на различных форумах, где есть указанная нами фраза.
Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим
Transform: [Darknet] Search Products. В выдаче мы получим ссылки на «лоты» продуктов.
Еще поиск товаров можно выполнить от
Entitie: Location. Тут нам доступны Transforms по поиску доставки в локацию и из нее: [Darknet] Search Products (shipping from) и [Darknet] Search Products (shipping to).
Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.
Вот и все на сегодня. Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь. Ну а если хочется почитать про самые интересные новости из мира ИБ и технологий, приходите в наш уютный тг-канал.
