APT Infrastructure Hunting Tools

Internet Search Engines

  • https://en.fofa.info/

    • O Fofa parece sempre retornar uma grande quantidade de resultados para a busca de infraestrutura, com desempenho superior a alguns dos outros mecanismos de pesquisa.

    • O Fofa também examina páginas da Web em plataformas de hospedagem, o que nos permite realizar buscas em torno de magecart e páginas comprometidas do wordpress.

    • Os módulos do Magecart demonstrarão como isso é poderoso.

    • Se estivermos rastreando malware que usa portas não padrão para comunicação, o Fofa também é o mais provável de retornar resultados: Por exemplo, o módulo Rhysida.

  • https://search.censys.io/

    • O Censys é um ponto de partida para a busca de diretórios abertos - ele tem um rótulo que captura várias combinações de strings para diretórios abertos, algo que não existe no Shodan, por exemplo.

    • O Censys é excelente para gerar relatórios sobre atributos de infraestrutura, inclusive nomes de host. Os módulos sobre Scattered Spider e Fakebat (em breve) demonstrarão isso.

  • https://www.shodan.io/

    • Os recursos de Facet Analysis são uma ferramenta muito poderosa. Ele é ótimo para identificar falsos positivos com base em vários critérios.

    • O recurso Facet Analysis também é muito eficiente como ponto de partida para o hunting à infraestrutura sem nenhum IOC como ponto de partida inicial.

    • Os recursos de visualização são excelentes para fins de relatório e para demonstrar a distribuição da infraestrutura sem envolver qualquer ferramenta de terceiros.

  • https://hunt.io/

  • https://www.binaryedge.io/

  • https://www.zoomeye.ai/discover

Tools

  • https://www.maltego.com/downloads/

    • Recomendação de Transforms para usar no Maltego:

      • Virus Total - nos dá a capacidade de entender o número de endereços IP em comunicação com arquivos em escala; caso contrário, teríamos que inserir individualmente os endereços IP manualmente na interface do usuário da Web.

      • ipinfo - também nos dá outra opção para apresentar dados geográficos e de hospedagem sobre entidades.

      • STIX2 - usado principalmente para casos de uso em que desejamos apresentar objetos adicionais relacionados a TTPs de agentes de ameaças, como campanhas e entidades comportamentais.

      • Shodan - fantástico para o número de transformações que podem ser realizadas no Maltego.

  • https://app.tidalcyber.com/

Anterior[EN] T1055 - Process InjectionPróximoCuidado onde clica

Atualizado

Isto foi útil?