Tools
Ultimo aggiornamento: 23/07/2018 21:15
Allegato strano? Sito sospetto? Un IP continua a martellare il vostro server?
In questa pagina cercherò di raccogliere tutti gli strumenti online e i servizi per eseguire delle analisi di malware, domini o file sospetti.
🔗 - Analizza url e link
📄 - Analizza file
urlscan.io 🔗
Permette di caricare un URL in una sandbox per avere uno screenshot e mostrare tantissime altre informazioni utili come domini contattati e DOM inspection.
urlquery.net 🔗
Simile a urlscan.io. Di solito lo uso come seconda opinione al primo.
VirusTotal 🔗📄
Analisi e scansione degli elementi caricati con quasi tutti gli scanner anti-virus. Permette di caricare file, di analizzare url o di ricercare elementi nel suo DB.
reverse.it 📄
Dominio alternativo rapido per hybrid-analysis.com. Permette di caricare il file in una sandbox online e farlo esplodere per analizzarne il comportamento. A seguito, genera un report molto dettagliato delle azioni che vengono eseguite sulla macchina e un indice di probabile minaccia. Basata su VxStream Sandbox.
malwr.com 📄
Sandbox basata su Cuckoo. In manutenzione da diversi mesi.
cuckoo.cert.ee 🔗📄
Sandbox del CERT Estonia messa a disposizione per il pubblico. Basata su Cuckoo.
any.run 🔗📄
Di recente creazione, è una sandbox come VxStream o Cuckoo ma permette l'interazione con la VM. La versione gratuita permette un'interazione fino a 4 minuti.
Sekoia 📄
Strumento specifico per l'analisi dei Dropper, ovvero il primo stadio di un attacco veicolato tramite malware. Di solito sono gli allegati mail tipo .js
, .vba
, .bat
, etc.
IRIS-H 📄
Analisi di documenti Office, RTF e LNK (questi ultimi caricateli in uno zip, altrimenti caricherete il file a cui puntano).
Cryptam 📄
Analisi di documenti Office.
PDFExaminer 📄
Analisi di documenti PDF.
quicksand.io 📄
Analisi di documenti Office. Interessante la possibilità di eseguire scansioni tramite Command Line
Analisi IP e domini
Di seguito riporto una carrellata veloce di alcuni siti per verificare la reputazione di indirizzi IP o domini. Alcuni mostrano solo la reputazione, altri invece restituiscono informazioni aggiuntive molto utili per fare delle analisi più approfondite.
RiskIQ Community (registrazione obbligatoria)
OTX AlienVault
Threat Crowd
ThreatMiner
Pulsedive
Cymon.io
IBM X-Force Exchange
Cisco Talos Intelligence
AbuseIPDB
Se avete dubbi, consigli o volete semplicemente lamentarvi di qualcosa, mi trovate qui.