Maltego Kullanımı: Veriler Arasındaki İlişkileri Görselleştirme

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
image_750x_676d21293d0eb.webp


Maltego Kullanımı: Veriler Arasındaki İlişkileri Görselleştirme​

Bir OSINT çalışmasında en büyük sorun "veri yokluğu" değil, "veri bolluğu"dur. Elinizde 50 farklı IP adresi, 20 e-posta, 100 alan adı olduğunda, beyniniz bu karmaşık ilişkileri işleyemez hale gelir. Hangi IP hangi domain ile ilişkiliydi? Bu e-posta hangi sunucuda çıkmıştı?

Maltego, bu karmaşayı düzenli bir grafiğe (Graph) dönüştüren, Java tabanlı bir Açık Kaynak İstihbaratı ve Adli Bilişim uygulamasıdır. Veri madenciliği yapar, parçaları toplar ve sizin için "noktaları birleştirir".

Bölüm 1: Maltego'nun Çalışma Mantığı​

Maltego'yu anlamak için üç temel kavramı bilmek gerekir. Bu kavramlar programın alfabesidir:

1. Varlık (Entity) – "Noktalar"​

Grafik üzerindeki her bir düğümdür (Node). Araştırdığınız nesnedir.
  • Örnekler: Bir kişi (Person), bir IP adresi (IPv4), bir alan adı (Domain), bir telefon numarası, bir Bitcoin cüzdanı veya bir Twitter hesabı.

2. Dönüşüm (Transform) – "Sihirli Değnek"​

Maltego'nun en güçlü yanıdır. Bir Varlık üzerinde çalıştırdığınız küçük kod parçacığıdır. Varlığı alır, bir veritabanına sorar ve cevabı yeni bir Varlık olarak getirir.
  • Örnek: Bir "Alan Adı" varlığına sağ tıklayıp "To IP Address (DNS)" dönüşümünü çalıştırdığınızda, Maltego DNS sunucularına sorar ve o alan adının barındığı "IP Adresini" grafiğe ekleyip ikisi arasına bir çizgi çeker.

3. Bağlantı (Link) – "Kırmızı İpler"​

Varlıklar arasındaki ilişkiyi gösteren çizgidir.
  • Örnek: Ahmet Yılmaz (Kişi) -> sahibidir -> ahmetblog.com (Domain).

Bölüm 2: Maltego Transform Hub (Veri Pazarı)​

Maltego tek başına boş bir tuvaldir. Onu güçlü kılan, Transform Hub adı verilen veri pazarıdır. Burası, dünyanın en büyük istihbarat veritabanlarının Maltego'ya entegre olduğu yerdir.

Bu pazarda hem ücretsiz hem de ücretli (API key gerektiren) veri kaynakları bulunur:
  • Shodan: Cihaz ve sunucu taraması için.
  • VirusTotal: Zararlı yazılım ve domain repütasyonu için.
  • WhoisXML: Alan adı sahiplik bilgileri için.
  • Social Links: Sosyal medya (Instagram, Facebook, Telegram) analizi için (En popüler ve güçlü eklentilerden biridir).
  • CipherTrace: Kripto para takibi için.
Siz tek bir arayüzden (Maltego), tarayıcı değiştirmeden 50 farklı istihbarat kaynağını sorgulayabilirsiniz.

Bölüm 3: Adım Adım Bir İstihbarat Senaryosu​

Teoriyi bırakıp Maltego'nun pratikte nasıl bir "dijital dedektif" gibi çalıştığını görelim. Hedefimiz şüpheli bir şirket olan kotu-sirket.com.

Adım 1: BaşlangıçBoş bir grafiğe bir Domain varlığı sürükleyip bırakıyoruz ve adını kotu-sirket.com yapıyoruz.

Adım 2: Altyapıyı Çözmek (Infrastructure Mapping)Domain'e sağ tıklayıp "To IP Address" dönüşümünü seçiyoruz.
  • Sonuç: Grafik, domainin bağlı olduğu IP adresini (Örn: 1.2.3.4) getiriyor.
Adım 3: Pivotlama (Sıçrama)Şimdi o IP adresine sağ tıklayıp "To Domains (Reverse DNS)" diyoruz. Amacımız bu sunucuda başka hangi sitelerin barındığını bulmak.
  • Sonuç: Maltego, aynı IP'de barınan 50 farklı siteyi daha getiriyor. Bunlardan biri yasa-disi-bahis.com. Bağlantıyı kurduk!
Adım 4: İnsan Faktörükotu-sirket.com domainine geri dönüp "To Email (@domain)" dönüşümünü çalıştırıyoruz. Arama motorlarını tarıyor.
Adım 5: Sosyal Medya AvıBulunan ali.veli ismine sağ tıklayıp "To Social Media Profiles" diyoruz.
  • Sonuç: Ali Veli'nin LinkedIn ve Twitter hesapları grafiğe ekleniyor.
Büyük Resim:Sadece 5 dakika içinde; bir alan adından başladık, sunucusundaki illegal siteleri bulduk, şirket çalışanının ismine ulaştık ve onun sosyal medya hesabına kadar giden devasa bir ilişki ağını (Network Map) tek ekranda görselleştirdik.

Bölüm 4: Maltego Machines (Otomasyon)​

Her adımı tek tek yapmak (Sağ tık -> Transform) bazen yorucu olabilir. Machines (Makineler), bu işlemleri otomatize eden makrolardır.
  • Footprint L1: Tek bir tuşla domaini alır; DNS, Whois, E-posta ve IP analizini sırasıyla yapar ve size hazır bir rapor sunar.
  • Company Stalker: Bir şirket adını alır ve o şirkette çalışan kişilerin e-postalarını ve sosyal medya hesaplarını otomatik olarak döker.
Makineler, analistin saatlerce sürecek manuel çalışmasını dakikalara indirir.

Bölüm 5: Sürümler (Community vs. Pro)​

Maltego'yu kullanmaya başlamak için cebinizden para çıkmasına gerek yoktur, ancak sınırları vardır.
  1. Maltego CE (Community Edition): Ücretsizdir.
    • Sınır: Bir dönüşümde en fazla 12 sonuç getirir. (Örneğin bir IP'de 500 site varsa, sadece 12'sini görürsünüz). Öğrenmek ve basit araştırmalar için idealdir.
  2. Maltego Pro / Enterprise: Ücretlidir (Oldukça pahalıdır).
    • Özellik: Sınırsız sonuç, daha büyük grafikler ve özel raporlama seçenekleri sunar. Profesyonel siber güvenlik firmaları ve istihbarat kurumları kullanır.

Bölüm 6: Dikkat Edilmesi Gerekenler ve "Tavşan Deliği"​

Maltego inanılmaz güçlüdür, ancak tehlikeli bir yanılgıya neden olabilir: "Tavşan Deliği" (Rabbit Hole).

Eğer her bulduğunuz veriye dönüşüm uygularsanız, grafiğinizde 10.000 tane nokta oluşur. Bilgisayarınız kilitlenir ve siz de verinin içinde boğulursunuz.
  • Kural: Her veriyi değil, sadece "ilgili" veriyi genişletin.
  • Filtreleme: Alakasız sonuçları grafikten silin. Temiz bir grafik, doğru istihbarat demektir.

Sonuç: Görsel Zekanın Gücü​

İnsan beyni listeleri okumakta kötü, şekilleri ve ilişkileri algılamakta mükemmeldir. Maltego, karmaşık siber suç ağlarını insan beyninin anlayabileceği bir haritaya dönüştürür.

Bir siber güvenlik analisti için Maltego kullanmak; karanlık bir odada el feneriyle dolaşmak yerine, odanın ışıklarını yakıp her şeyi kuş bakışı görmek gibidir.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst