# OSINT Tools to Leverage #### **Análise de arquivos (hash / malware)** **VirusTotal** {% embed url="" %} Use para: * Hash (MD5, SHA256) * IP / domínio * Arquivo Procure: * Quantos vendors detectam * Nome da ameaça * Behavior (aba Behavior) Dica: > 1–2 detecções = pode ser falso positivo\ > 10+ = suspeito\ > 30+ = provavelmente malicioso #### Hybrid Analysis Sandbox com análise profunda Procure: * Comportamento (registry, network) * MITRE ATT\&CK * Droppers **ANY.RUN & CrowdStrike Falcon Sandbox** {% embed url="" %} {% embed url="" %} Sandbox interativa (muito usada em SOC) Diferencial: * Você vê execução ao vivo * Timeline visual Procure: * Conexões externas * Spawn de processos * Download de payloads **Joe Sandbox** {% embed url="" %} Relatórios muito detalhados Bom para: * Análise mais técnica (nível L2/L3) #### **Análise de URLs e domínios** **urlscan.io** {% embed url="" %} Analisa páginas web Procure: * Redirecionamentos * Scripts suspeitos * Domínios relacionados **DomainTools (WHOIS)** {% embed url="" %} Inteligência de domínio Procure: * Data de criação * Registrante * Histórico #### **Infraestrutura / exposição** **Shodan** {% embed url="" %} “Google da internet exposta” Use para: * IPs suspeitos * Portas abertas * Serviços expostos Procure: * RDP aberto * Serviços incomuns **MXToolbox** {% embed url="" %} Focado em DNS e e-mail Use para: * MX records * SPF / DKIM * Blacklists #### Como usar isso na triagem (fluxo real) **Exemplo prático** Você pega no Falcon: * Hash * IP * Domínio Faz: 1. **Hash → VirusTotal** 2. **Se suspeito → ANY.RUN / Hybrid Analysis** 3. **Domínio → urlscan + DomainTools** 4. **IP → Shodan** 5. **Email/domain → MXToolbox**