Strumenti di ricerca OSINT consigliati per analisi di reputazione indirizzi IP o domini

Strumenti di ricerca OSINT consigliati per analisi di reputazione indirizzi IP o domini

L’elenco potrebbe aggiornarsi nel tempo, aggiungilo ai preferiti per non perderti i nuovi motori di ricerca!


AbuseIP

Dati forniti

ISP, tipologia del servizio correlato all’indirizzo, paese di provenienza,  
WHOIS  e report di cattiva reputazione con categoria dell’evento.

Pro

  • Permette la ricerca di indirizzi IP puntuali o intere subnet, indicando tra tutti gli indirizzi quali sono segnalati per cattiva reputazione
  • Risolve i domini ricercati e ne effettua la ricerca
  • Chiunque può inserire un record della reputazione di un IP
  • Possibilità di effettuare query con API

Contro

  • Spesso risulta offline (contando una visita minima al giorno, per 5 giorni a settimana, ho riscontrato almeno 3 disservizi al mese)
  • Anche gli utenti non registrati possono inserire record della reputazione di un IP

AlienVault

Dati forniti

Provenienza, proprietario/autonomous system, esito Google Safe Browsing, in quali collezioni l’indirizzo risulta inserito (chiamate “pulse”, nella piattaforma), URL associate, scansione HTTP, possibilità di cercare l’indicatore su VirusTotal o su WHOIS Domain Tools.

Pro

  • Pulse in costante aggiornamento dalla comunità AlienVault
  • Possono contenere informazioni inserite direttamente dai ricercatori, non ancora pubblicate sulle più comuni piattaforme OSInt come XForce
  • Per effettuare qualsiasi modifica ai report o ai pulse è necessario registrarsi
  • Le API permettono delle interrogazioni con Python, Java e Golang SDK, oltre che a Suricata, BRO-IDS e Taxii
  • Possibilità di registrarsi al feed di un pulse, per rimanere aggiornato ogni qualvolta venga inserito un nuovo indicatore

Contro

  • Nessun contro degno di nota

Anti Hacker Alliance

Dati forniti

Localizzazione geografica IP, ISP, informazioni subnet, WHOIS, header HTML, panoramica reputazione, DNS blocklist, reputazione su 96 blacklist pubbliche, ping, port scan, traceroute, Google Safe Browsing, record DNS, informazioni proprietario, reverse DNS, screenshot pagina web, IP sospetti/malevoli nella stessa subnet.

Pro

  • Numero delle informazioni fornite decisamente alto
  • Possibilità di commentare i report
  • Scansioni HTTP, HTML e delle porte fatte dal server
  • Sito web no-profit, rende disponibile un pulsante di donazioni
  • Possibilità di richiedere l’inserimento in blacklist di un IP

Contro

  • Troppe informazioni anche non necessarie
  • Non è possibile modificare i report
  • Non è possibile cercare domini

Barracuda Central

Dati forniti

Report di reputazione come sender di email di spam

Pro

  • Database verificato manualmente
  • In servizio dal 2009

Contro

  • Captcha per ogni richiesta
  • Non presenta report di reputazione per attività estranee all’invio di email (es. attacchi web, port scan…)
  • Non viene motivato alcun esito. Viene mostrato un semplice messaggio di esito positivo o negativo senza fornire ulteriori informazioni.

Censys

Dati forniti

Servizi e porte esposti relativi ad un host

Pro

  • Descrizione dettagliata del servizio esposto e dettagli attinenti al servizio (es. con HTTPS mostra la vulnerabilità Heartbleed, con MySQL mostra la versione installata, con POP/IMAP/SMTP mostra il certificato installato…)
  • Possibilità di ricercare un IP, un dominio o verificare un certificato digitale

Contro

  • Nessun contro degno di nota

Cymon

Dati forniti

Panoramica delle minacce legate all’indicatore cercato, risoluzione DNS

Pro

  • Grafica user friendly e intuitiva
  • Gli esiti sono presi anche da altri fornitori di report
  • Cliccando su un item, viene eseguita una ricerca su di esso
  • Ottima piattaforma per una ricognizione superficiale
  • Vengono applicati tag agli indicatori per una categorizzazione rapida o una ricerca più veloce

Contro

  • Non permette di consultare la fonte dei record
  • Non lo consiglierei per report approfonditi

DB-IP

Dati forniti

Autonomous System, ISP, geo localizzazione, reputazione superficiale separata in “rischio crawler”, “proxy” e “fonte di attacchi”.

Pro

  • Fornisce dati sulla geo localizzazione completa di mappa

Contro

  • Non preciso al 100% in merito a geolocalizzazione.

DDoSMon

Dati forniti

Numero di attacchi delle ultime 24 ore e degli ultimi 30 giorni relativi all’IP cercato.

Pro

  • Monitorate 6 famiglie di minacce

Contro


HoneyDB

Dati forniti

Localizzazione, collegamenti ad altri motori di ricerca OSInt (Cymon, AlienVault, DShield…), sessioni sospette catturate dalla rete HoneyPot, feed Shodan, feed GreyNoise, feed HackedIP, feed ThreatCrowd, feed ProjectHoneypot

Pro

  • Il report delle sessioni è separato in tre colonne: protocollo, timestamp e deep inspection dei pacchetti
  • I feed degli altri motori di ricerca sono puliti e concisi, facili alla lettura

Contro

  • Troppi feed di terzi, in quantità rispetto a quanto offre il sito da solo
  • Non vi è un esito dell’indirizzo cercato. Sono riportate solamente le attività che l’indirizzo ha effettuato, senza un flag o una dicitura che dica “malevolo” o “sospetto”

IBM X-Force Exchange

Dati forniti

Rischio dell’indirizzo (espresso in decimale, da 1 a 10), tag assegnati all’indirizzo dagli analisti, categorie dove l’indirizzo è stato inserito, localizzazione, Autonomous System, WHOIS, numero di segnalazioni nel tempo, DNS passivo dell’indirizzo IP, malware che sono stati osservati comunicare con l’indirizzo IP, sottoreti note, commenti degli utenti

Pro

  • La quantità di utenti, analisti e ricercatori sia privati che business che sono registrati sul servizio, rende la piattaforma uno strumento sempre aggiornato e attendibile in caso di indicatori di compromissione
  • È comune che rispondano ai commenti o alle richieste di modifica degli addetti IBM, confrontando analisi o indicatori con utenti e analisti
  • Non è necessario aver acquistato un prodotto IBM per favorire del servizio
  • Sono presenti collezioni di indicatori che categorizzano famiglie di malware, botnet, campagne o azioni malevole per essere più facilmente recuperabili
  • Anche gli utenti free possono lasciare commenti o categorizzare un indicatore

Contro

  • Raggiunta una quantità di ricerche, è necessario registrare un account, anche gratuito

Project HoneyPot

Dati forniti

Riepilogo rilevazione attività malevole, prima rilevazione, ultima  
rilevazione, numero totale di rilevazioni, user agent utilizzato dall’indirizzo per contattare la rete, indirizzi IP sospetti dalla stessa sottorete dell’indirizzo cercato

Pro

  • Possibilità di richiedere la rimozione di un IP, se se ne fosse il proprietario
  • Possibilità di lasciare commenti
  • Gli indirizzi sono separati in quattro categorie: “harvesters” (raccoglitori di informazioni), “spam servers” (server utilizzati per diffondere spam), “dictionary attackers” (indirizzi utilizzati per effettuare attacchi a dizionario) e “comment spammers” (indirizzi utilizzati per danneggiare la reputazione di siti o contenuti commentandoli in maniera impropria)

Contro

  • Non intuitivo e, personalmente, non lo reputo molto user-friendly

Pulsedive

Dati forniti

Localizzazione, Autonomous System, riepilogo dei rischi, presenza di record PTR (reverse DNS lookup), port scan, DNS lookup, WHOIS, certificato SSL

Pro

  • Possibilità di arricchire i report sugli indirizzi inserendo manualmente informazioni
  • Servizio per il port scan Shodan e servizio per il DNS passivo VirusTotal
  • Grafica appetibile
  • Presenza di API free e premium

Contro

  • Nessun contro degno di nota

Reputation Authority

Dati forniti

Panoramica reputazione, localizzazione, DNS block list, reputazione come sender email, ISP, reverse DNS

Pro

  • Raccomandato specialmente per la reputazione di domini email
  • Possibilità di delistarsi, in caso di falso positivo o errore di segnalazione

Contro

  • La panoramica della reputazione non è esplicitamente motivata
  • Non sono presenti altre block list che forniscono un ulteriore feed

Talos Intelligence

Dati forniti

Localizzazione, informazioni sul proprietario, reputazione email, reputazione web, categorizzazione servizio fornito, quantità di spam segnalato nelle ultime 24h e negli ultimi 30 giorni, presenza in 4 blacklist pubbliche (BL.SPAMCOP.NET, CBL.ABUSEAT.ORG, PBL.SPAMHAUS.ORG e SBL.SPAMHAUS.ORG), presenza nella blacklist di Talos, indirizzi sospetti nelle diverse subnet dove è presente l’indirizzo cercato, WHOIS, storico delle email segnalate

Pro

  • Servizio offerto dalla CISCO
  • Ben dettagliato sul come vengono calcolati gli esiti per un indirizzo
  • Servizio preferito da molti ricercatori per verificare la reputazione di server MX in caso di spam

Contro

  • Considerando l’alto numero di blacklist pubbliche disponibili e consultabili, quattro possono risultare poche

VirusTotal

Dati forniti

Rischio dell’indirizzo in base ai feedback della comunità (che può segnalare come positivo o negativo l’indicatore), Autonomous System, passive DNS, files che sono stati scaricati dall’indirizzo cercato, files che sono stati osservati contattare l’indirizzo cercato, commenti della comunità

Pro

  • Il servizio è attivo da anni ed è utilizzato continuamente da ricercatori ed analisti
  • Vengono caricati indicatori anche inerenti campagne diffuse da poco tempo
  • Gli utenti possono “taggare” un indicatore per aiutare la ricerca tramite il motore di ricerca interno
  • È stato introdotto uno strumento, chiamato “behavior”, che indica nel dettaglio cosa fa un indicatore quando eseguito nell’ambiente virtuale di VirusTotal
  • Per visualizzare le relazioni tra indicatori, è presente una vista a grafico
  • Chiunque può sottoporre sample o URL da analizzare

Contro

  • Il download dei sample è concesso ad una cerchia ristretta di utenti selezionati da VirusTotal e con abbonamento premium
Mostra i Commenti