Maltego là gì?

Maltego là gì? Maltego là công cụ data mining mạnh mẽ cho link analysis và threat intelligence. Nó cho phép người dùng visualize mối quan hệ giữa các entities như domains, IP addresses, emails, people, và organizations. Đây là công cụ tiêu chuẩn trong bộ công cụ của cybersecurity professionals.

Maltego được phát triển bởi Paterva (trụ sở tại South Africa), nổi tiếng trong cộng đồng penetration testing và OSINT (Open Source Intelligence). Khi tìm hiểu Maltego là gì, bạn sẽ thấy công cụ này sử dụng graphical interface cho phép người dùng visualize data dưới dạng graphs, trong đó mỗi node là một entity và mỗi edge là một mối quan hệ. Cách tiếp cận trực quan này giúp analysts nhanh chóng nhận diện patterns mà raw data không dễ thấy.

Maltego được sử dụng rộng rãi bởi các tổ chức lớn như law enforcement agencies, security teams, financial institutions, và security researchers trên toàn thế giới. Nó tích hợp với nhiều data sources thông qua hệ thống transforms, cho phép analysts thu thập thông tin từ multiple sources trong một workflow duy nhất.

Bạn cũng có thể tìm hiểu thêm về DNS enumeration — một phần quan trọng trong quy trình OSINT và reconnaissance.

Maltego Use Cases — Ứng dụng thực tiễn

• Threat Intelligence — Track infrastructure của threat actors
• Digital Forensics — Điều tra incidents và mapping relationships
• Penetration Testing — Reconnaissance và attack surface analysis
• OSINT Research — Thu thập thông tin công khai

Maltego Editions — Các phiên bản

Entities trong Maltego — Các đối tượng phân tích

DNS Entities

• Domain, DNS Name, DNS Record
• IP Address, Autonomous System

Contact Entities

• Person, Email Address, Phone Number
• Company, Organization

Web Entities

• Website, Web Title, Link

Infrastructure Entities

• IP Address, Autonomous System, Hostname
• Port, Service Banner

Transforms trong Maltego — Cách hoạt động

Khi tìm hiểu Maltego là gì, bạn cần hiểu Transforms — các operations lấy một entity và tìm các entities liên quan. Maltego có hàng trăm transforms từ built-in sources và cộng đồng Hub.

Popular Hub Transforms

• Shodan — Tìm devices public
• Hunter — Email discovery
• Pastebin Hunter — Search leaked data

Sử dụng Maltego – Examples

Passive Reconnaissance

# Ví dụ Passive reconnaissance
1. Start with target company domain
2. Discover subdomains (DNS enumeration)
3. Find associated IP ranges
4. Discover email patterns
5. Map employee names to emails
6. Find social media accounts
7. Document findings in graph

Threat Intelligence Investigation

# Example: Investigate malware campaign
1. Start with malicious URL from sandbox
2. Run transforms to discover infrastructure
3. Map all domains hosted on same IP
4. Find registrant details
5. Track historical changes (passive DNS)
6. Create IOCs for team

Incident Response

# Example: Investigate phishing attack
1. Extract sender email and domain
2. Find all domains registered by same entity
3. Map infrastructure (IPs, nameservers)
4. Correlate with other campaigns
5. Identify attacker's real identity if possible

Maltego CE (Community Edition) Limitations — Giới hạn khi dùng Maltego là gì

Maltego Trong Security Workflow — Maltego là gì cho SOC

Reconnaissance Phase

• Enumerate subdomains
• Find associated emails
• Map infrastructure
• Discover external assets

Threat Intelligence Investigation

• Trace threat actors’ infrastructure
• Map attack campaign infrastructure
• Track malware distribution networks
• Correlate IOCs

Incident Response

• Investigate email impersonation
• Trace source of attacks
• Find connections between suspects

Alternative cho Maltego — Công cụ thay thế Maltego là gì

Advanced Maltego Techniques — Kỹ thuật nâng cao Maltego là gì

Machine Transforms

Machine transforms là tính năng chạy automatically across entire graphs, helping discover patterns mà manual transforms có thể bỏ sót. Đây là tính năng powerful cho large-scale investigations, cho phép analysts chạy hàng loạt transforms trên nhiều entities cùng lúc thay vì từng cái một. Machine transforms đặc biệt hữu ích khi phân tích large datasets như toàn bộ subdomain portfolio của một organization.

from maltego_trx.entities import Domain
from maltego_trx.transform import DiscoverableTransform

class MyCompanyDomains(DiscoverableTransform):
    @classmethod
    def create_entities(cls, request):
        company = request.Value
        domains = my_db.get_domains(company)
        for domain in domains:
            ent = Domain(domain)
            request.responseEntity.addEntity(ent)

Pastebin Hunter

Search Pastebin for leaked credentials, sensitive data, và internal information. Tính năng này tích hợp với Maltego để track leak sources và correlate với other intelligence data. Useful cho breach investigation, credential stuffing detection, và monitoring data exposure của organization.

Workflow: Start with email address → Run transform to search Pastebin → Find all pastes → Analyze leaked data types → Correlate with other compromised accounts.

Maltego là gì cho Defenders?

• Brand monitoring: Track domain squatting, impersonation
• Supply chain security: Map vendor relationships
• Attack surface analysis: Discover external-facing assets
• Fraud investigation: Track scammer infrastructure
• Due diligence: Research partners/vendors

Security teams cũng dùng Maltego để monitor threat landscape và track các chiến dịch tấn công đang diễn ra. Với khả năng tích hợp nhiều data sources, Maltego cho phép defenders chủ động identify potential threats trước khi chúng trở thành incidents. Đây là một phần quan trọng của proactive security posture mà mọi organization nên adopt.

Lưu ý pháp lý khi sử dụng Maltego

Legal Boundaries

• Only use on systems you have permission for
• Public data only for OSINT
• Check terms of service for data sources
• Don’t use for stalking or harassment

Data Handling

• Don’t upload sensitive data to cloud services
• Encrypt findings at rest
• Handle PII carefully
• Document data sources for evidentiary value

Kết luận

Trở lại câu hỏi Maltego là gì — Maltego là powerful link analysis tool thiết yếu cho cybersecurity professionals. Nó excels at visualizing complex relationships giữa các entities, making it invaluable cho threat intelligence, forensics, và OSINT research.

Mặc dù Community Edition có limitations, nó vẫn đủ mạnh cho nhiều use cases. For advanced needs, Classic hoặc XL editions provide access to more transforms và API capabilities. Nên bắt đầu với CE để làm quen trước khi đầu tư vào paid edition.

Nếu bạn mới bắt đầu với security tools, hãy tham khảo bài viết về Nmap để hiểu thêm về network reconnaissance — một kỹ năng nền tảng bổ trợ cho Maltego trong penetration testing workflow.

Để bảo vệ toàn diện, bạn cũng nên tham khảo các bài viết về DNS và Nmap trên vnhte.com.

Các Câu Hỏi Thường Gặp (FAQ)

1. Maltego có miễn phí không?

Community Edition là miễn phí nhưng có limitations: 30 results per transform, no API, limited transforms. Các phiên bản trả phí (Classic, XL, Enterprise) bắt đầu từ ~€999/year.

2. Tôi cần bao lâu để học Maltego?

Basic usage có thể học trong vài giờ. Mastery mất weeks/months vì có nhiều transforms và complex workflows. Maltego có documentation và video tutorials tốt.

3. Maltego dùng trong pentesting như thế nào?

Trong reconnaissance phase: enumerate subdomains, find associated emails, map infrastructure, discover external assets. Also useful trong reporting để visualize attack paths.

4. Alternative nào cho Maltego?

Fully free alternative: Maltego CE only. Other tools: ivre (command-line network recon), SpiderFoot (similar functionality), recon-ng (OSINT framework). None có full feature set như Maltego.

5. Maltego có thể automate được không?

Có, với paid editions. Classic and above provide API access. Bạn có thể create custom transforms để integrate proprietary data sources, và automate investigations programmatically.