L’elenco potrebbe aggiornarsi nel tempo, aggiungilo ai preferiti per non perderti i nuovi motori di ricerca!
AbuseIP
Dati forniti
ISP, tipologia del servizio correlato all’indirizzo, paese di provenienza,
WHOIS e report di cattiva reputazione con categoria dell’evento.
Pro
- Permette la ricerca di indirizzi IP puntuali o intere subnet, indicando tra tutti gli indirizzi quali sono segnalati per cattiva reputazione
- Risolve i domini ricercati e ne effettua la ricerca
- Chiunque può inserire un record della reputazione di un IP
- Possibilità di effettuare query con API
Contro
- Spesso risulta offline (contando una visita minima al giorno, per 5 giorni a settimana, ho riscontrato almeno 3 disservizi al mese)
- Anche gli utenti non registrati possono inserire record della reputazione di un IP
AlienVault
Dati forniti
Provenienza, proprietario/autonomous system, esito Google Safe Browsing, in quali collezioni l’indirizzo risulta inserito (chiamate “pulse”, nella piattaforma), URL associate, scansione HTTP, possibilità di cercare l’indicatore su VirusTotal o su WHOIS Domain Tools.
Pro
- Pulse in costante aggiornamento dalla comunità AlienVault
- Possono contenere informazioni inserite direttamente dai ricercatori, non ancora pubblicate sulle più comuni piattaforme OSInt come XForce
- Per effettuare qualsiasi modifica ai report o ai pulse è necessario registrarsi
- Le API permettono delle interrogazioni con Python, Java e Golang SDK, oltre che a Suricata, BRO-IDS e Taxii
- Possibilità di registrarsi al feed di un pulse, per rimanere aggiornato ogni qualvolta venga inserito un nuovo indicatore
Contro
- Nessun contro degno di nota
Anti Hacker Alliance
Dati forniti
Localizzazione geografica IP, ISP, informazioni subnet, WHOIS, header HTML, panoramica reputazione, DNS blocklist, reputazione su 96 blacklist pubbliche, ping, port scan, traceroute, Google Safe Browsing, record DNS, informazioni proprietario, reverse DNS, screenshot pagina web, IP sospetti/malevoli nella stessa subnet.
Pro
- Numero delle informazioni fornite decisamente alto
- Possibilità di commentare i report
- Scansioni HTTP, HTML e delle porte fatte dal server
- Sito web no-profit, rende disponibile un pulsante di donazioni
- Possibilità di richiedere l’inserimento in blacklist di un IP
Contro
- Troppe informazioni anche non necessarie
- Non è possibile modificare i report
- Non è possibile cercare domini
Barracuda Central
Dati forniti
Report di reputazione come sender di email di spam
Pro
- Database verificato manualmente
- In servizio dal 2009
Contro
- Captcha per ogni richiesta
- Non presenta report di reputazione per attività estranee all’invio di email (es. attacchi web, port scan…)
- Non viene motivato alcun esito. Viene mostrato un semplice messaggio di esito positivo o negativo senza fornire ulteriori informazioni.
Censys
Dati forniti
Servizi e porte esposti relativi ad un host
Pro
- Descrizione dettagliata del servizio esposto e dettagli attinenti al servizio (es. con HTTPS mostra la vulnerabilità Heartbleed, con MySQL mostra la versione installata, con POP/IMAP/SMTP mostra il certificato installato…)
- Possibilità di ricercare un IP, un dominio o verificare un certificato digitale
Contro
- Nessun contro degno di nota
Cymon
Dati forniti
Panoramica delle minacce legate all’indicatore cercato, risoluzione DNS
Pro
- Grafica user friendly e intuitiva
- Gli esiti sono presi anche da altri fornitori di report
- Cliccando su un item, viene eseguita una ricerca su di esso
- Ottima piattaforma per una ricognizione superficiale
- Vengono applicati tag agli indicatori per una categorizzazione rapida o una ricerca più veloce
Contro
- Non permette di consultare la fonte dei record
- Non lo consiglierei per report approfonditi
DB-IP
Dati forniti
Autonomous System, ISP, geo localizzazione, reputazione superficiale separata in “rischio crawler”, “proxy” e “fonte di attacchi”.
Pro
- Fornisce dati sulla geo localizzazione completa di mappa
Contro
- Non preciso al 100% in merito a geolocalizzazione.
DDoSMon
Dati forniti
Numero di attacchi delle ultime 24 ore e degli ultimi 30 giorni relativi all’IP cercato.
Pro
- Monitorate 6 famiglie di minacce
Contro
- Informazioni sulle fonti dei feed non precise e decisamente difficili da trovare ad una prima occhiata
- Giurisdizione cinese. La società dietro allo strumento è la Qihoo 360, di certo non godente di buona reputazione in ambito di riservatezza in occidente
HoneyDB
Dati forniti
Localizzazione, collegamenti ad altri motori di ricerca OSInt (Cymon, AlienVault, DShield…), sessioni sospette catturate dalla rete HoneyPot, feed Shodan, feed GreyNoise, feed HackedIP, feed ThreatCrowd, feed ProjectHoneypot
Pro
- Il report delle sessioni è separato in tre colonne: protocollo, timestamp e deep inspection dei pacchetti
- I feed degli altri motori di ricerca sono puliti e concisi, facili alla lettura
Contro
- Troppi feed di terzi, in quantità rispetto a quanto offre il sito da solo
- Non vi è un esito dell’indirizzo cercato. Sono riportate solamente le attività che l’indirizzo ha effettuato, senza un flag o una dicitura che dica “malevolo” o “sospetto”
IBM X-Force Exchange
Dati forniti
Rischio dell’indirizzo (espresso in decimale, da 1 a 10), tag assegnati all’indirizzo dagli analisti, categorie dove l’indirizzo è stato inserito, localizzazione, Autonomous System, WHOIS, numero di segnalazioni nel tempo, DNS passivo dell’indirizzo IP, malware che sono stati osservati comunicare con l’indirizzo IP, sottoreti note, commenti degli utenti
Pro
- La quantità di utenti, analisti e ricercatori sia privati che business che sono registrati sul servizio, rende la piattaforma uno strumento sempre aggiornato e attendibile in caso di indicatori di compromissione
- È comune che rispondano ai commenti o alle richieste di modifica degli addetti IBM, confrontando analisi o indicatori con utenti e analisti
- Non è necessario aver acquistato un prodotto IBM per favorire del servizio
- Sono presenti collezioni di indicatori che categorizzano famiglie di malware, botnet, campagne o azioni malevole per essere più facilmente recuperabili
- Anche gli utenti free possono lasciare commenti o categorizzare un indicatore
Contro
- Raggiunta una quantità di ricerche, è necessario registrare un account, anche gratuito
Project HoneyPot
Dati forniti
Riepilogo rilevazione attività malevole, prima rilevazione, ultima
rilevazione, numero totale di rilevazioni, user agent utilizzato dall’indirizzo per contattare la rete, indirizzi IP sospetti dalla stessa sottorete dell’indirizzo cercato
Pro
- Possibilità di richiedere la rimozione di un IP, se se ne fosse il proprietario
- Possibilità di lasciare commenti
- Gli indirizzi sono separati in quattro categorie: “harvesters” (raccoglitori di informazioni), “spam servers” (server utilizzati per diffondere spam), “dictionary attackers” (indirizzi utilizzati per effettuare attacchi a dizionario) e “comment spammers” (indirizzi utilizzati per danneggiare la reputazione di siti o contenuti commentandoli in maniera impropria)
Contro
- Non intuitivo e, personalmente, non lo reputo molto user-friendly
Pulsedive
Dati forniti
Localizzazione, Autonomous System, riepilogo dei rischi, presenza di record PTR (reverse DNS lookup), port scan, DNS lookup, WHOIS, certificato SSL
Pro
- Possibilità di arricchire i report sugli indirizzi inserendo manualmente informazioni
- Servizio per il port scan Shodan e servizio per il DNS passivo VirusTotal
- Grafica appetibile
- Presenza di API free e premium
Contro
- Nessun contro degno di nota
Reputation Authority
Dati forniti
Panoramica reputazione, localizzazione, DNS block list, reputazione come sender email, ISP, reverse DNS
Pro
- Raccomandato specialmente per la reputazione di domini email
- Possibilità di delistarsi, in caso di falso positivo o errore di segnalazione
Contro
- La panoramica della reputazione non è esplicitamente motivata
- Non sono presenti altre block list che forniscono un ulteriore feed
Talos Intelligence
Dati forniti
Localizzazione, informazioni sul proprietario, reputazione email, reputazione web, categorizzazione servizio fornito, quantità di spam segnalato nelle ultime 24h e negli ultimi 30 giorni, presenza in 4 blacklist pubbliche (BL.SPAMCOP.NET, CBL.ABUSEAT.ORG, PBL.SPAMHAUS.ORG e SBL.SPAMHAUS.ORG), presenza nella blacklist di Talos, indirizzi sospetti nelle diverse subnet dove è presente l’indirizzo cercato, WHOIS, storico delle email segnalate
Pro
- Servizio offerto dalla CISCO
- Ben dettagliato sul come vengono calcolati gli esiti per un indirizzo
- Servizio preferito da molti ricercatori per verificare la reputazione di server MX in caso di spam
Contro
- Considerando l’alto numero di blacklist pubbliche disponibili e consultabili, quattro possono risultare poche
VirusTotal
Dati forniti
Rischio dell’indirizzo in base ai feedback della comunità (che può segnalare come positivo o negativo l’indicatore), Autonomous System, passive DNS, files che sono stati scaricati dall’indirizzo cercato, files che sono stati osservati contattare l’indirizzo cercato, commenti della comunità
Pro
- Il servizio è attivo da anni ed è utilizzato continuamente da ricercatori ed analisti
- Vengono caricati indicatori anche inerenti campagne diffuse da poco tempo
- Gli utenti possono “taggare” un indicatore per aiutare la ricerca tramite il motore di ricerca interno
- È stato introdotto uno strumento, chiamato “behavior”, che indica nel dettaglio cosa fa un indicatore quando eseguito nell’ambiente virtuale di VirusTotal
- Per visualizzare le relazioni tra indicatori, è presente una vista a grafico
- Chiunque può sottoporre sample o URL da analizzare
Contro
- Il download dei sample è concesso ad una cerchia ristretta di utenti selezionati da VirusTotal e con abbonamento premium
