URLQuery
Con el auge de las infecciones de malware, cada vez más van surgiendo servicios online que proporcionan escaneos de malware de diferente índole, algunos de estos servicios pueden ser Virus Total, Anubis ISecLAB y el que voy a explicar hoy, que es URLQuery.
Este servicio es la caña y la verdad y se ha hecho muy popular para el análisis de los Exploits Kits.
URLQuery ¿cómo funciona?
Vamos a ver un ejemplo de como funciona:
Como veis, abajo podemos ver los últimos análisis que se han ido haciendo, tenemos un cuadro de búsqueda desde donde podremos buscar dominios que hayan sido infectados con malware u otras amenazas.
Si queremos analizar una nueva URL, solo deberemos de introducirla y lanzar la URL a escanear.
Lanzamos el análisis y URLQuery analizará la web.
Podremos ver detalles como la IP. el location y exactamente con que User Agent se lanzará el análisis.
En este caso, la URL que he mandado a analizar no contenía ningún rastro de malware.
En un análisis, URLQuery ofrece varios apuntes en los report. URLQuery tiene por detrás productos IDS como Snort o Suricata, por lo tanto si hay algo en la página que se está analizando que tenga que saltar por alguna regla de IDS lo veremos reflejado.
También podremos ver cosas como, si en el mismo ASN, se han encontrado o se encontraron dominios que estaban infectados pues saldrán en el report.De esta manera podemos sacar mas información.
En el caso de que hubiera javascripts que cargaron algo del tipo malicioso en la página saldrían en el report.
Este es un ejemplo de cuando la web ha echo una petición en la que ha saltado una alerta en los sistemas de análisis de URLQuery
Podremos ver el detalle de la alerta. Además de que nos saldrá el código para que podamos analizarlo.
Hay una cosa muy interesante que tiene URLQuery y es que podemos cambiar cosas como el UserAgent o Referer por si el Exploit Kit o web maliciosa espera algo en concreto para poder infectar la usuario.
Vamos a ver algunas de las estadísticas
Estas son las URL que se han procesado en URLQuery y cuantas de ellas se han marcado como maliciosas.
Esta parte va muy bien para ver el tipo de tendencias en explotación que están habiendo.
Del tipo de alertas que saltan en URLQuery el top 5
URLQuery es un buen servicio para analizar webs maliciosas, podremos ver estadísticas de Exploits Kits, alertas etc...
[+]URLQuery => https://urlquery.net/index.php