As extensões do navegador são uma das maneiras mais simples de começar a usar ferramentas de inteligência de código aberto porque são múltipla plataformas. Portanto, qualquer pessoa que use o Chrome no Linux, macOS e Windows pode usá-los da mesma forma. O mesmo vale para o Firefox. Um complemento de navegador de desktop, em particular, torna o OSINT tão fácil quanto clicar com o botão direito do mouse para pesquisar hashes, endereços de e-mail e URLs.
Mitaka, criado por Manabu Niseki, funciona no Google Chrome e Mozilla Firefox. Uma vez instalado, ele permite selecionar e inspecionar determinados trechos de texto e indicadores de comprometimento (IoC), executando-os em vários mecanismos de pesquisa diferentes, tudo com apenas alguns cliques. A ferramenta pode ajudar os investigadores a identificar malware, determinar a credibilidade de um endereço de e-mail e ver se um URL está associado a algo incompleto, para citar apenas algumas coisas.
Instalando o Mitaka no seu navegador
Se você já instalou uma extensão de navegador antes, sabe o que fazer. Mesmo que não, não poderia ser mais fácil. Basta visitar o Mitaka na Chrome Web Store ou nos complementos do Firefox, clicar em “Adicionar ao Chrome” ou “Adicionar ao Firefox” e selecionar “Adicionar” para verificar.
Então, depois de encontrar algo de interesse em um site ou em um e-mail que você está investigando, tudo o que você precisa fazer é destacar e clicar com o botão direito do mouse e, em seguida, examinar todas as opções que o Mitaka fornece no menu contextual. Na página do GitHub para Mitaka , existem alguns exemplos que vale a pena experimentar para ver como o Mitake funciona.
Inspecionando endereços de e-mail
Sempre que você vir um endereço de e-mail que suspeita ser malicioso, seja ele defanged (ofuscado para que não possa ser clicado) ou clicável, você pode destacá-lo, clicar com o botão direito do mouse e escolher “Mitaka”. Se estiver desabilitado, o que geralmente significa colocar [.] onde os períodos regulares vão para quebrar o link, o Mitaka o rearmará para que qualquer pesquisa que você execute ainda funcione.
No menu Mitaka, você verá uma variedade de ferramentas que podem ser usadas para inspecionar e investigar o endereço de e-mail. Existem pesquisas que você pode realizar em Censys, PublicWWW, DomainBigData, DomainWatch, EmailRep, IntelligenceX, OCCPR, RiskIQ, SecurityTrails, ThreatConnect, ThreatCrowd e ViewDNS. Por exemplo, se você quiser saber a reputação do e-mail, escolha “Pesquisar este e-mail no EmailRep”.
A partir dos resultados, podemos ver que test@example.com provavelmente não é alguém em que devemos confiar. Na verdade, podemos ver neste relatório que ele foi colocado na lista negra e sinalizado por atividade maliciosa.
Portanto, se encontrássemos ou recebêssemos um endereço de e-mail sinalizado dessa maneira, poderíamos determinar muito rapidamente que ele estava associado a alguém que foi colocado na lista negra de malware ou possivelmente algo como phishing, e isso seria um excelente maneira de identificar um remetente ou usuário arriscado.
Por outro lado, digamos que estamos analisando uma violação de senhas de diferentes pessoas e queremos identificar se uma pessoa real possui ou não um endereço de e-mail. Podemos pegar um endereço de e-mail devidamente formado, clicar com o botão direito do mouse, selecionar “Mitaka” e usar a mesma ferramenta EmailRep para verificar.
A partir de um relatório, podemos supor que provavelmente é uma pessoa real porque o endereço de e-mail foi visto em 27 fontes respeitáveis na Internet, incluindo Vimeo, Pinterest e Aboutme. No código, podemos ver todas as informações sobre os diferentes tipos de perfis de alta qualidade que estão vinculados ao endereço de e-mail, o que legitima ainda mais a conta como real.
Executando análise de malware em arquivos
A análise de malware é outra ferramenta interessante no arsenal de Mitaka. Digamos que estamos em um site e temos um arquivo que queremos baixar. Já ouvimos falar da ferramenta antes, parece respeitável e o aplicativo da web parece bom. Depois de baixar o arquivo, podemos comparar o hash com o listado no site. Se o hash corresponder, sabemos que baixamos o arquivo que o autor do site pretendia, mas como sabemos que o arquivo está realmente OK?
Se um antivírus não detectá-lo no computador, você sempre pode pegar o hash do arquivo que está no site, clicar com o botão direito do mouse, escolher “Mitaka” e usar algo como VirusTotal. Este verificador pode identificar arquivos potencialmente suspeitos observando o hash e tentando descobrir se ele pode ou não danificar seu computador.
No nosso caso, podemos ver que existem várias detecções e que este é um minerador de criptografia do macOS. Então, se tivéssemos executado isso em nosso computador, mesmo que não fosse detectado pelo Avast e um monte de outros scanners de malware diferentes e bastante respeitáveis, ele ainda teria passado.
Então, como você pode ver, o Mitaka é uma maneira bastante eficaz de verificar se um arquivo que você baixou da Internet foi sinalizado por fazer algo ruim usando ferramentas como o VirusTotal ou outra fonte de dados. Disponível no menu para esse tipo de pesquisa está Censys, PublicWWW, ANY.RUN, Apklab, Hashdd, HybridAnalysis, InQuest, Intezer, JoeSandbox, MalShare, Maltiverse, MalwareBazaar, Malwares, OpenTIP, OTX, Pulsedive, Scumware, ThreatMiner, VirusTotal, VMRay, VxCube e X-Force-Exchange.
Verificando se um site tem vírus
Agora, também podemos fazer pesquisas de URL com o Mitaka. Se estivermos olhando para um despejo de big data, ou se quisermos apenas ver se um URL específico em uma página da Web ou e-mail foi identificado com algo incompleto, podemos clicar com o botão direito do mouse no link, escolher “Mitaka” e selecionar uma das ferramentas.
As ferramentas disponíveis para esse tipo de pesquisa incluem Censys, PublicWWW, BinaryEdge, crt.sh, DNSlytics, DomainBigData, DomainTools, DomainWatch, FOFA, GoogleSafeBrowsing, GreyNoise, Hashdd, HurricaneElectric, HybridAnalysis, IntelligenceX, Maltiverse, OTX, Pulsedive, RiskIQ, Robtex, Scumware, SecurityTrails, Shodan, SpyOnWeb, Spyse, Talos, ThreatConnect, ThreatCrowd, ThreatMiner, TIP, URLhaus, Urlscan, ViewDNS, VirusTotal, VxCube, WebAnalyzer e X-Force-Exchange.
Para nosso teste, vamos apenas verificar o Censys.
No nosso caso, o domínio que pesquisamos está associado a algumas coisas bastante incompletas. Como podemos ver que ele está sendo usado para pesquisas ruins e todos os tipos de outras atividades preocupantes, podemos supor que provavelmente não é um domínio de propriedade de uma corporação ou empresa que seja mais direta em suas negociações.
Este é apenas alguém que quer ganhar o máximo de dinheiro possível com o espaço na web que eles têm. Também podemos ver que ele usa um sistema Amazon, o que significa que provavelmente é apenas um sistema alugado e não a configuração física de alguém. Todos esses dados apontam para o fato de que este seria um site muito incompleto para fazer negócios e pode não ser tão legítimo quanto você gostaria.
Há muito mais para explorar!
Esses foram todos casos de uso bastante básicos, mas como você pode ver, existem várias maneiras diferentes de investigar uma pista na Internet usando um simples menu do botão direito. Uma coisa que é muito legal sobre o Mitaka é que ele é capaz de detectar diferentes tipos de dados para que as opções de pesquisa contextual possam atender às informações corretas.
Esta foi apenas uma visão geral rápida. Se você deseja começar a usar o Mitaka, deve percorrer todos os diferentes tipos de dados, destacar algo em um site ou e-mail, clicar com o botão direito do mouse e escolher sua pesquisa do Mitaka. Há muitas fontes disponíveis e pode ser aterrorizantes no começo, mas isso significa apenas que o Mitaka é uma ferramenta completa e valiosa com toneladas de pesquisas úteis disponíveis na ponta do seu dedo.
