01 marzo 2013

Automater, obteniendo información de IP y URL's

El poder tener información sobre una IP o URL es esencial en muchos casos. Pongo un ejemplo muy claro: en el transcurso de una investigación es muy útil tener toda la información posible, es por eso que existen aplicaciones como Maltego en las que introduciendo una IP, dominio o dirección de email y nos extraerá toda la información que pueda encontrar.

Pero hoy no vengo a hablar de Maltego y de sus virtudes, sino de Automater una herramienta que puede servirnos para varios propósitos en la obtención de información sobre URL's o IP's.

Es un script en Python muy fácil de usar y que además podemos incluir en alguna otra herramienta que nos sirva para otro propósito y que pueda cumplimentar la información que podemos extraer.

Lo primero que tenemos que hacer es descargar automater, como únicas dependencias hay que instalar:

Una vez descargadas las dependencias ya podremos ejecutar automater

Opciones en automater:


darkmac:TekDefense marc$ python Automater.py -h

 ___        _                        _            
 / _ \      | |                      | |           
/ /_\ \_   _| |_ ___  _ __ ___   __ _| |_ ___ _ __ 
|  _  | | | | __/ _ \| '_ ` _ \ / _` | __/ _ \ '__|
| | | | |_| | || (_) | | | | | | (_| | ||  __/ |   
\_| |_/\__,_|\__\___/|_| |_| |_|\__,_|\__\___|_|   

Welcome to Automater! I have created this tool to help analyst investigate IP Addresses and URLs with the common web based tools.  All activity is passive so it will not alert attackers.
Web Tools used are:
IPvoid.com, Robtex.com, Fortiguard.com, unshorten.me, Urlvoid.com 
www.TekDefense.com
@author: 1aN0rmus@TekDefense.com

usage: Automater.py [-h] [-t TARGET] [-f FILE] [-o OUTPUT] [-e EXPAND]

IP and URL Passive Analysis tool

optional arguments:
  -h, --help            show this help message and exit
  -t TARGET, --target TARGET
                        List one IP Addresses to query. Does not support more
                        than one address.
  -f FILE, --file FILE  This option is used to import a file that contains IP
                        Addresses or URLs
  -o OUTPUT, --output OUTPUT
                        This option will output the results to a file.
  -e EXPAND, --expand EXPAND
                        This option will expand a shortened url using
                        unshort.me


Información sobre una IP

La primera prueba que haremos será obtener información sobre una IP:


La primera información que obtenemos es si esta IP tiene asociada resolución DNS inversa, aunque la herramienta solo permite identificar registros del tipo A.

Como podemos ver, Automater nos genera un reporte sobre la IP, diciendo, entre otras cosas, si esa IP ha sido 'blacklisteada' o no

Otra de las cosas que hace Automater es identificar el ISP propietario y la localización, muy útil si queremos reportar esta IP como fraudulenta, entre otras cosas.

Información sobre acortadores URL

El uso de acortadores URL es una vía de infección a los usuarios. Aunque la idea principal no es esa, y sirve para poder proporcionar una URL mucho más fácil de recordar y que además es útil para compartir URLs en servicios como Twitter que tiene una limitación de 140 caracteres.

Pero los cibercriminales usan los acortadores para distribuir enlaces maliciosos sirviéndose de que el usuario no puede ver lo que hay detrás y cuando acceden  la URL va a parar a un Exploit Kit, entre otras cosas.


En este caso el acortador de URL redireccionaba a un Exploit Kit, el famoso Blackhole.

Blacklist de IP's

Una de las utilidades que me gusta de Automater es que es capaz de decirte por ejemplo si una IP se encuentra en Blacklist.

Procesar por lotes


Automater por defecto solo permite hacer la búsqueda de información de una IP o URL. Pero podemos usar una de las opciones que lleva la herramienta para configurar un fichero de múltiples URL e Ip's para que vaya extrayendo toda la información.


 Automater irá extrayendo la información de cada URL o iP de manera secuencial.
Esta herramienta se puede complementar con otras herramientas que usemos para investigar información sobre IP's o URL. Además podemos complementarla con otras herramientas de extracción de información

Artículo cortesía de Marc Rivero López

1 comments :

Antonela Giacherinni dijo...

El mejor juego GRATUITO de estrategia militar multijugador online

Te esperamos http://bit.ly/YdSL5Z