OSINT Tools to Leverage

Análise de arquivos (hash / malware)

VirusTotal

VirusTotalVirusTotal

Use para:

• Hash (MD5, SHA256)

• IP / domínio

• Arquivo

Procure:

• Quantos vendors detectam

• Nome da ameaça

• Behavior (aba Behavior)

Dica:

1–2 detecções = pode ser falso positivo 10+ = suspeito 30+ = provavelmente malicioso

Hybrid Analysis

Sandbox com análise profunda

Procure:

• Comportamento (registry, network)

• MITRE ATT&CK

• Droppers

ANY.RUN & CrowdStrike Falcon Sandbox

Interactive Online Malware Analysis Sandbox - ANY.RUNapp.any.run

Malware Analysis | CrowdStrike Falcon® Threat IntelligenceCrowdStrike.com

Sandbox interativa (muito usada em SOC)

Diferencial:

• Você vê execução ao vivo

• Timeline visual

Procure:

• Conexões externas

• Spawn de processos

• Download de payloads

Joe Sandbox

Automated Malware Analysis - Joe Sandbox Cloud Basicwww.joesandbox.com

Relatórios muito detalhados

Bom para:

• Análise mais técnica (nível L2/L3)

Análise de URLs e domínios

urlscan.io

URL and website scanner - urlscan.iourlscan.io

Analisa páginas web

Procure:

• Redirecionamentos

• Scripts suspeitos

• Domínios relacionados

DomainTools (WHOIS)

WHOIS Search, Domain Name, Website, and IP Tools - Who.iswho.is

Inteligência de domínio

Procure:

• Data de criação

• Registrante

• Histórico

Infraestrutura / exposição

Shodan

https://www.shodan.io/www.shodan.io

“Google da internet exposta”

Use para:

• IPs suspeitos

• Portas abertas

• Serviços expostos

Procure:

• RDP aberto

• Serviços incomuns

MXToolbox

MX Lookup Tool - Check your DNS MX Records online - MxToolboxmxtoolbox.com

Focado em DNS e e-mail

Use para:

• MX records

• SPF / DKIM

• Blacklists

Como usar isso na triagem (fluxo real)

Exemplo prático

Você pega no Falcon:

• Hash

• IP

• Domínio

Faz:

1. Hash → VirusTotal

2. Se suspeito → ANY.RUN / Hybrid Analysis

3. Domínio → urlscan + DomainTools

4. IP → Shodan

5. Email/domain → MXToolbox