El poder tener información sobre una IP o URL es esencial en muchos casos. Pongo un ejemplo muy claro: en el transcurso de una investigación es muy útil tener toda la información posible, es por eso que existen aplicaciones como Maltego en las que introduciendo una IP, dominio o dirección de email y nos extraerá toda la información que pueda encontrar.
Pero hoy no vengo a hablar de Maltego y de sus virtudes, sino de Automater una herramienta que puede servirnos para varios propósitos en la obtención de información sobre URL's o IP's.
Es un script en Python muy fácil de usar y que además podemos incluir en alguna otra herramienta que nos sirva para otro propósito y que pueda cumplimentar la información que podemos extraer.
Lo primero que tenemos que hacer es descargar automater, como únicas dependencias hay que instalar:
Una vez descargadas las dependencias ya podremos ejecutar automater
Opciones en automater:
darkmac:TekDefense marc$ python Automater.py -h
___ _ _
/ _ \ | | | |
/ /_\ \_ _| |_ ___ _ __ ___ __ _| |_ ___ _ __
| _ | | | | __/ _ \| '_ ` _ \ / _` | __/ _ \ '__|
| | | | |_| | || (_) | | | | | | (_| | || __/ |
\_| |_/\__,_|\__\___/|_| |_| |_|\__,_|\__\___|_|
Welcome to Automater! I have created this tool to help analyst investigate IP Addresses and URLs with the common web based tools. All activity is passive so it will not alert attackers.
Web Tools used are:
IPvoid.com, Robtex.com, Fortiguard.com, unshorten.me, Urlvoid.com
www.TekDefense.com
@author: 1aN0rmus@TekDefense.com
usage: Automater.py [-h] [-t TARGET] [-f FILE] [-o OUTPUT] [-e EXPAND]
IP and URL Passive Analysis tool
optional arguments:
-h, --help show this help message and exit
-t TARGET, --target TARGET
List one IP Addresses to query. Does not support more
than one address.
-f FILE, --file FILE This option is used to import a file that contains IP
Addresses or URLs
-o OUTPUT, --output OUTPUT
This option will output the results to a file.
-e EXPAND, --expand EXPAND
This option will expand a shortened url using
unshort.me
Información sobre una IP
La primera prueba que haremos será obtener información sobre una IP:
La primera información que obtenemos es si esta IP tiene asociada resolución DNS inversa, aunque la herramienta solo permite identificar registros del tipo A.
Como podemos ver, Automater nos genera un reporte sobre la IP, diciendo, entre otras cosas, si esa IP ha sido 'blacklisteada' o no
Otra de las cosas que hace Automater es identificar el ISP propietario y la localización, muy útil si queremos reportar esta IP como fraudulenta, entre otras cosas.
Información sobre acortadores URL
El uso de acortadores URL es una vía de infección a los usuarios. Aunque la idea principal no es esa, y sirve para poder proporcionar una URL mucho más fácil de recordar y que además es útil para compartir URLs en servicios como Twitter que tiene una limitación de 140 caracteres.
Pero los cibercriminales usan los acortadores para distribuir enlaces maliciosos sirviéndose de que el usuario no puede ver lo que hay detrás y cuando acceden la URL va a parar a un Exploit Kit, entre otras cosas.
En este caso el acortador de URL redireccionaba a un Exploit Kit, el famoso Blackhole.
Blacklist de IP's
Una de las utilidades que me gusta de Automater es que es capaz de decirte por ejemplo si una IP se encuentra en Blacklist.
Procesar por lotes
Automater por defecto solo permite hacer la búsqueda de información de una IP o URL. Pero podemos usar una de las opciones que lleva la herramienta para configurar un fichero de múltiples URL e Ip's para que vaya extrayendo toda la información.
Automater irá extrayendo la información de cada URL o iP de manera secuencial.
Esta herramienta se puede complementar con otras herramientas que usemos para investigar información sobre IP's o URL. Además podemos complementarla con otras herramientas de extracción de información
Artículo cortesía de Marc Rivero López
1 comments :
El mejor juego GRATUITO de estrategia militar multijugador online
Te esperamos http://bit.ly/YdSL5Z
Publicar un comentario