Introducción

En este repro dejaré herramientas que uso para busqueda de reputación de IP, dominio, malware, sandbox... Iré actualizando. Si sabes de alguna que otra herramienta que no está indicada puedes abrir una issue.

Análisis del IoCs

A la hora de analizar un IOC debemos tener en cuenta:

• Historial del IOC: "Edad de vida", dominio, propietario.
• Reputación.
• Alta en listas.
• C2.

Enlaces

Lista de enlaces gratuitos que te ayudarán: obtención de información de IOCs, sandbox, programas para analizar y recomendaciones de seguridad,

• Denuncias abuses/phishing en hosting, registradores dominios:
  • Amazon AWS Página para reportar comportamiento abusivo en AWS. Encontrarás formulario o email.
  • Google Denuncia comportamiento abusivo de host alojado en Google.
  • Microsoft Microchof 🙂 formulario abuse report.
  • Form OVHCloud Notificación de infracciones y de contenido ilícito en OVH.
  • Form Cloudflare email:abuse@cloudflare.com
  • Form Digital Ocean email: noc@digitalocean.com,abuse@digitalocean.com
  • Form Dynadot email:abuse@dynadot.com
  • Form GoDaddy email:abuse@godaddy.com
  • Hostinger email:abuse@hostinger.com
  • Gandi email: abuse@support.gandi.net
  • Form Namecheap email: abuse@namecheap.com
    • NamedCheap Denunciar cualquier actividad ilicita o abusiva en Namedcheap.
  • Form Namesilo Abuse or Form Namesilo Phishing email:abuse@namesilo.com
  • Form OrangeWebsite email: abuse@orangewebsite.com
  • Form PublicDomainRegistry email: abuse-contact@publicdomainregistry.com
  • Form Tucows email: abuse@tucows.com email: domainabuse@tucows.com
  • Form 000webhost

Denunciar phishing y spam

• Spam

  • Stop Forum Spam

• Bancos

  • Santander: phishing@gruposantander.es
  • Caixa Bank: posible.phishing@caixabank.com Os recomiendo la lectura de ésta página

• Empresas

  • Instagram: phish@instagram.com
  • Twitter: Página denuncia
  • TikTok: Página denuncia
  • Amazon: stop-spoofing@amazon.com
  • PayPal: phishing@paypal.com
  • Adobe: hellospark@adobe.com
  • Glitch: support@glitch.com
  • IBM: abuse@softlayer.com
  • Replit: contact@repl.it
  • Netlify: fraud@netlify.com
  • Square: spoof@squareup.com
  • Form Notion
  • Form Bitly
  • Form Blogger
  • Form Jimdo

• Instituciones

  • FBI: Página de denuncias del FBI
  • INCIBE: incidencias@incibe-cert.es o por formulario
  • Policia Nacional: Formulario
  • Guardia Civil: Formulario
  • Apple: reportphishing@apple.com Más información de cómo denunciar
  • Google: Página
  • Microsoft: Página

• County IP Blocks Genera ACL en varios formatos, por país, continentes, para ACLs de Routers, iptables, htaccess. 👍

• Infosec CERT-PA Agregador de datos e información relacionados con técnicas de ataque, vulnerabilidades de hardware y software. También es analizador e contiene IOCs. Mi valoración: alta.

• PassiveTotal/RiskIQ Información de la API

• AlienVAult

• MetaDefender Cloud

• Threatminer Data Mining for threat intelligence Portal de inteligencia de amenazas. API, transformada de Maltego, etc. TOP

• Cyber Threat Intelligence (ACT) Plataforma que recopila, analiza e intercambia sobre TI (Threat Intelligence) 👍

• BrightCloud

• The Trystero Project Proyecto que mide la eficacia de Google y Microsoft antes los ataques de correo. Acceso a BBDD de IOCs, reputación.

• DNSDumper búsqueda de dominios

• DNS checker. DNS tools. 👍 Dispone de extensión para Chrome.

• ICANN Búsqueda de dominios. 👍

• Resolvers Buena web con un conjunto de herramientas DNS, dominios, HTTP, geolocalización etc. La geolocalización te busca en varias fuentes. 👍

• IP2Whois Herramienta gratuita de búsqueda de dominio, whois.

• Securitytrails Información de la API

• Desenmascareme Información de la API

• intoDNS Verifica el estado y configuración de un servidor DNS.

• DNS Leaks Hace test para comprobar si estas usando DNS transparente. Los ISPs interceptan las conexiones en salida al puerto 53, aunque tengas configurado como DNS los de Google, Cloudflare, etc.

• X-Force

• Google Transparency Report

• FortiGuard

• AbuseIPDB AbuseIPDB informa de IPs involucradas en actividades maliciosas tales como spam, ataques DDoS, etc. Puedes consultar y reportar IPs. Si te registras puedes usar la API tanto para reportar como para consultar.

• Robtex Información de la API

• DNSlytics

• Host.io Información sobre nombres de dominio. Para información de la API

• MxToolBox

• Spyse Información de la API

• Isithacked Esta web es muy curiosa. Busca si la web está infectada verificando redirecciones "divertidas", enlaces de spam, oculto a GoogleBot. Chequea tanto WordPress, Drupal, Joomla, Magento, ...

• IntelligenceX Información de la API

• Auth0 Auth0 detecta ataques y parar intentos maliciosos a la aplicación. Usa API

• Hurricane Electric.

• WhoisXML Inteligencia y datos de dominio.

• IPQualityscore IPs, proxies, VPN y TOR. Consulta con API

• IP loockup Una serie de herramientas de geolocalización,whois, email lookup, dns lookup ...

Reputación

• [Opensquat](https://phishydomains.com/ - cyber squatting -) Busqueda de dominios de phishing requien creados.
• SOCRadar Lab Varias herramientas. 👍
• TweetFeed IOCs que han sido compartidos en Twitter. 👍
• TOR Comprobar si una IP ha sido nodo de TOR
• BGP Ranking Herramienta que permite saber la reputación de un AS en base a los datos existente de los sistemas comprometidos, la IP de C&C de malware y los conjuntos de datos existentes. Reputación. 👍
• BigData
• Scamalytics Reputación IP. Posibilidad de reportar y consulta mediante API de 5.000 peticiones.
• MalwareWorld Reputación de IP y Dominio buscadas en más de 500 listas, mapas de host ...
• ScamAlytics Reputación de IP.
• Typosquatting-finder Permite encontrar dominios typosquatting con el fin de identificar dominios falsos con errores tipográficos usado por agentes de amenazas. 👍
• Lupovis.com Geolocalización y reputación.
• Netlas.io Busqueda reputación IP con consulta a Whois. Tiene paquete python.
• Abusix.com Muestra la dirección de abuse realizando una consulta al DNS. Mira aquí para saber cómo hacerlo. Permite IPv4 e IPV6. 👍 Gracias a @0xDanielLopez por el aporte.
• WhoisHistory Historial de Whois de un dominio.

Reputación email

• Blocklist checker
• Simple Email Reputation

Analizar URL

• Urlvoid.com Reputación. 👍

• PaloAlto Urlfiltering Puedes encontrar información aquí

• zveloLIVE Analiza URLs en su BBDD.

• Zulu URL Risk Analyzer Analizador de URLs.

• WebPulse Site Review Request Analizador URLs.

• URLscan.io Analizador URLs. Información sobre la API

• isitphishing Informa si la url es sitio de spam o phishing.

• URL Abuse Analiza URL además enlaza con Lookyloo 👍

• Lookyloo "Diseccionar" una URL. 👍

• FileScan Malware Analysis Platform 👍

• Wannabrowser Enlaces maliciosos. 👍

• Browserling Enlaces maliciosos. 👍

• URLhaus

• CheckIoC Check IOCs.

• Maltiverse Búsqueda IOCs. Threat Intelligence.

• Hashdd búsqueda de hashes, puedes usar API

Phishing

• Phishunt
• Phishstats
• Phishfinder
• PhishyDomains Busqueda de dominios de phishing que han sido registrados recientemente. 👍
• StopScamFraud Proyecto,mantenido por voluntarios, aportan información gratuita sobre estas estafas. 👍

Scaner Malware

• ZeroBOX Website Threat Scanner, Sandbox, Cyber Threat Map, un dashword muy completo.
• Unmask Parasites Escaner de páginas web buscando malware, scripts maliciosos, etc.
• CheckPish
• PhishTank
• Ironscales
• Scamadviser
• MalwareURL
• McAfee
• Quttera
• Norton Safe
• Sucuri
• HaveIbeenEmotet Busca si tu email o dominio se ha visto comprometido en la difusión difusión de malspam conteniendo el troyano Emotet.
• Virustotal
• Polyswarm
• Darktracer
• Chainabuse Tracking de direcciones bitcoin usadas para cobros de ransomware, blackmailers, fraudsters, etc. Anteriormente Bitcoinabuse.
• BitcoinWhoswho
• CryptoscambDB
• Unpac Desempaquetador de malware
• ThemarkUP Inspector de privacidad en tiempo real.

Herramientas para dispositivos móviles

• Android
  • Koodous.com Inteligencia contra el malware en Android. Análisis en línea, reglas Yara ... No lo he visto del todo pero tiene muy buena pinta. Gracias @as_informatico por el aporte.

Herramientas para RRSS

• Telegram:
  • @MalScanBot : Bot de Telegram que permite analizar archivos, APKs y URLs que se envien al grupo. Motores de búsqueda que usa: Virustotal, Clamav, Opswat, Koodous para APKs.
  • @drwebbot

Certificados

• Monitor Certificados Herramienta para monitorear los certificados. Desarrollada por Sectigo.

HoneyPots - Sección recomendada por zipyinthenet

• Tpot
• Conpot. ICS/SCADA honeypot.
• Cowrie. SSH honeypot.
• Dionaea. Honeypot designed to trap malware.
• Glastopf. Web application honeypot.
• Honeyd. Create a virtual honeynet.
• HoneyDrive. Honeypot bundle Linux distro.
• Honeytrap. Opensource system for running, monitoring and managing honeypots.
• MHN. MHN is a centralized server for management and data collection of honeypots. MHN allows you to deploy sensors quickly and to collect data immediately, viewable from a neat web interface.
• [Mnemosyne] - A normalizer for honeypot data; supports Dionaea.

Sandbox

• Hybrid
• Pandora
• FileScan Malware Analysis Platform 👍
• JoeSanbox :1:
• ANY.RUN
• Kaspersky
• Pulsedive
• Intezer Analyze
• Malware Repository.
• CAPE Sandbox
• Bazaar Abuse
• Triage Sandbox multiplataforma: Windows, Android, Linux y macOS con base de datos de conocimiento.
• REMnux Distro con VM
• Cuckoo

Leaks

• LeakIX monitor

Simuladores

• Firedrill Simulador de malware, con cuatro simuladores de ataque diferentes: ransomware, descubrimiento, la omisión de UAC y persistencia.

Feeds

• phishunt Hay URLs, dominios, IPs. ToDO: Descarga de feeds.
• Abuse.ch
• MalwareBaazar
• ESET IOCs
• VX Vault
• Blocklist Mirar bbdd de abuse.
• Threatfeeds
• Threat-Intel

Traffic Anonymizers

• Servicios anonimos

Repositorios

• Malshare, consulta API
• deepdarkCTI Recupelación de fuentes de CTI (Cyber Threat Intelligence) encontradas en la Deep y Darknet Web.
• Malware dump
• InQuest Repositorio de malware
• Javascript Malware Collection Colección de 40.000 ejemplos de JS malware.
• Malware Corpus Tracker HaaS
• VirusSign Colección de malware.
• VirusShare
• DAS-malwerk Muestras de malware.

Herramientas de análisis

• OleTools Algunos enlaces de la herramienta:
  • Página oficial http://www.decalage.info/python/oletools
  • https://pydigger.com/pypi/oletools
• Ragpicker malware crawler Ragpicker rastreador de malware que analiza y genera informes. Util si estás probando productos antivirus, recopilando malware para otro analizador.

Otras herramientas

• Exploitalert Listado de los últimos exploits publicados.

Foros

• KernelModel
• APT Groups and Operations Hoja de calculo de Google que contiene información e inteligencia sobre grupos, operaciones y tácticas de APT. Contribuciones:
  • Pasquale Stirparo @pstirparo
  • David Bizeul @davidbizeul
  • Brian Bell @Biebermalware
  • Ziv Chang @Gasgas4Ggyy
  • Joel Esler @joelesler
  • Kristopher Bleich @kc0iqx_bleich
  • Maite Moreno @mmorenog
  • Monnappa K A @monnappa22
  • J. Capmany @theweeZ
  • Paul Hutchinson @AllAboutAPT
  • Boris Ivanov @BlackCaesar1973
  • Andre Gironda @andregironda
  • Devon Ackerman @aboutdfir
  • Carlos Fragoso @cfragoso
  • Eyal Sela @eyalsela
  • Florian Egloff @egflo
  • Ohad Zaidenberg @OhadMZ

Download Feeds

En el directorio feeds/download hay un listado de ficheros que corresponden una recopilación de feeds públicos, tanto IPs como URLs. Hay un proceso automatico que se encarga de bajarlos todos los días, en concreto cada 13 horas. Poco a poco ire subiendo más feeds. Puedes descargarlos https://raw.githubusercontent.com/VentressAsajj/Malware/main/feeds/download/nombre_fichero para que lo puedas incluir en tu firewall perimetral.