Nueva herramienta: Transformadas de Maltego para Tacyt

lunes, 18 de julio de 2016

Si eres un usuario habitual de Maltego, ya sabrás qué intuitiva y útil resulta para investigar y analizar información. También sabrás que Maltego permite la creación de transformadas, que son scripts que permiten llamar a un servicio externo a través de API o cualquier otro recurso. Puesto que Tacyt cuenta con una API completa y un SDK para un uso más sencillo, crear transformadas es un paso natural adelante para aprovecharse de todo lo que ofrece Maltego. Y aquí las presentamos.

Imagina que estamos en una investigación que involucra aplicaciones y sus relaciones. Podríamos preguntarle a Tacyt que nos diera resultados sobre permisos, enlaces, correos, certificados, imágenes, etc. y se acaba con un dato interesante, digamos, un dominio. ¿A quién pertenece ese correo? En vez de utilizar recursos externos a Tacyt, se podría utilizar Maltego, correr las transformadas de Tacyt, extraer la información interesante y una vez que se tiene una URL, correo, perfil o cualquier otra entidad, aprovechar cualquiera de las muchas transformadas disponibles para Maltego. Así se facilita la investigación, más visual y completa en una sola ventana.

Hemos creado varias transformadas, pero no tienen por qué ser las únicas (el código está en GitHub así que cualquiera puede crear una). Hemos creado también entidades para Tacyt en Maltego y un paquete para instalarlo todo. Los pasos son sencillos:

  1. Importar el fichero MTZ desde el menú "Manage, Import, Config".
  2. Una vez importada, comprobar la ruta a Python y a las propias transformadas y que correspondan a las del sistema. Clic en "Manage Transforms" y buscar por tct (con wildcards) para mostrar las transformadas de Tacyt. Selecciónalas con el botón "shift". 
  3. En "Transform Inputs", modifica "Command line", y "Working directory" (donde están las transformadas en ficheros .py) de acuerdo a tus rutas. Por supuesto, previamente se necesita especificar el API ID y el Secret en APIManagement.py.

A continuación mostramos un vídeo de cómo desarrollar una pequeña investigación con una app arbitraria en Maltego, y no solo en Tacyt.




En el vídeo, se muestra cómo partiendo de una app clasificada como perteneciente a Brain Test, se puede extraer información relevante como los datos del certificado. En él, aparece un alias poco común en su Subject Common Name. Si se vuelve a buscar ese dato en Tacyt, aparecen otras apps similares. A una de ellas se le extraen los dominios (a los que se podría aplicar una transformada para conocer sus datos de registro). También sería posible buscar si el alias anterior tiene cuenta en Twitter (transformada de Alias a usuario de Twitter), dato que se confirma (aunque no lo apunta necesariamente como autor o relacionado con el malware).

El código y las transformadas están disponibles desde aquí. Esperamos que sea útil.

1 comentario: