Buenas,
Hoy vuelvo a escribir tras unas semanas en las que no he tenido apenas tiempo y nuevamente acerca del desarrollo de una nueva tool. En la actualidad, se disponen de nuevos servicios online que facilitan la obtención de ciertas información ya sea, geolocalizar IP’s, obtención del Whois, buscar correlaciones de hash de muestras de malware, entre otras. Obviamente cada servicio facilita diferente tipo de información y dónde uno no llega, pues llega otro,…al final es imprescindible disponer de la mayor parte de la información para su tratamiento, debido a esto, el otro día mi compañero Antonio con quién comparto diferentes ideas para desarrollar, me enseño la API de un servicio online que me pareció realmente chulo. Al poco tiempo, ya estaba pensando en qué me podía aportar y al día siguiente ya me piqué el código, por supuesto en python para primeramente testearlo independientemente para posteriormente integrarlo en mi suite de herramientas y demás desarrollos propios.
Para empezar el servicio online del que hablamos es Threat Crowd: https://www.threatcrowd.org/:
Realizando una pequeña búsqueda:
Como se observa muestra información acerca de:
- Hashes «relacionados» con el dominio.
- Resolución DNS.
- Subdominios.
- Un mapa de conexión empleando Maltego.
En el caso de introducir una dirección IP:
Los resultados son
- Whois
- Los dominios hospedados en dicha dirección IP.
- Gráfico de relación de Maltego.
También dispone de búsquedas de email, hashes entre otras,…
Adicionalmente, dispone de una API bastante bien explicada: https://github.com/AlienVault-OTX/ApiV2, que obviamente me he mirado y tras ver la usabilidad de la misma, he desarrollo un pequeño script para customizarme las consultas, de ahí nace Cr0wd, el nombre como siempre de lo más original 😉
Lo tenéis disponible en mi github, por si queréis probarlo
Como es habitual en mis desarrollos se encuentra en python 2.7. En este caso, con ejecutarlo, se muestra el menú autoexplicativo:
Se disponen de 3 opciones de búsqueda:
- Dominios en dónde se ha detectado el email consultado.
- Dominios hospedado en una dirección IP.
- Subdominios de un dominios.
A continuación, se muestra una pequeña PoC sobre su funcionamiento:
- Consulta emails.
- Dominios hospedados en una dirección IP.
- Subdominios de un dominio.
Todas las opciones cuentan con la opción de exportar los resultados a json o excel en función de las necesidades de cada uno.
Espero que os sea útil como lo es para mi y que os haya gustado. Para los que conociáis este servicio online ya que veís que facilita mucha ayuda y para los que, algo nuevo par investigar =D.
Además, es de agradecer que el único límite de la API es una consulta cada 10 segundos, de ahí que la tool disponga de un sleep de 2 segundos, sin embargo, dado el tiempo de computación, se puede reducir o incluso me atrevería decir de quitar, sin embargo, no lo he testeado sin él.
Nos vemos en el siguiente post 😉
N4xh4ck5
«La mejor defensa, es un buen ataque»