Cuando busco un dominio de interés en urlscan.io , veo mucha información interesante.
Cuando hago clic en "Indicadores de compromiso" (IOC), veo una lista de hashes que en realidad son enlaces a páginas llenas de información que no entiendo.
Ejemplo de página:
enlace
nada parece tener nada que ver con el dominio que comencé a investigar. Entonces, ¿qué es esta página y qué significa para el dominio de interés?
Este sitio utiliza una comprensión inusual del término IOC (Indicadores de compromiso). Esencialmente, simplemente enumera todos los recursos que ha encontrado en el sitio, sin importar si estos realmente indican un compromiso o no. Solo prueba algunos sitios inocentes conocidos como example.com y todavía encuentras "IOC" informado .
Es una representación con hash (en SHA256) del recurso en cuestión, potencialmente malicioso. Verifican y rastrean otros dominios / URL donde se vio o informó el mismo recurso, como indicadores de compromiso (IoC).
Si detectan el mismo recurso en su URL / servidor de destino, lo notificarán (es decir, la presencia de un archivo de malware conocido representado por un hash SHA-256, que en teoría no debería cambiar ya que es una trampa-permutación )
VirusTotal hace algo similar, también agrega el hecho de que el servicio urlscan.io utiliza la API de navegación segura de Google:
Las listas de navegación segura consisten en hash SHA256 de longitud variable (ver Contenido de la lista). Para verificar una URL en una lista de navegación segura (ya sea localmente o en el servidor), los clientes primero deben calcular el prefijo hash de esa URL.
Cuando se utiliza la API de búsqueda para verificar las URL, el cliente envía el La URL en el servidor de solicitud y Safe Browsing convierte la URL en un hash antes de realizar la comprobación (consulte Comprobación de URL para la API de búsqueda).
Lea otras preguntas en las etiquetas reconnaissance malware forensics indicator-of-compromise