Quando cerco un dominio di interesse su urlscan.io , vedo molte informazioni interessanti.
Quando faccio clic su "Indicatori di compromissione" (IOC), vedo un elenco di hash che in realtà sono collegamenti a pagine piene di informazioni che non capisco.
Pagina di esempio:
link
nulla sembra avere nulla a che fare con il dominio che ho iniziato a indagare. Allora, cos'è questa pagina e cosa significa per il dominio di interesse?
Questo sito utilizza un'insolita comprensione del termine IOC (Indicatori di compromesso). In sostanza elenca solo tutte le risorse che ha trovato sul sito, non importa se queste effettivamente indicano un compromesso o meno. Prova solo alcuni siti innocenti conosciuti come example.com e troverai ancora "IOC" segnalato .
È una rappresentazione hash (in SHA256) della risorsa in questione, potenzialmente dannosa. Controllano e monitorano altri domini / URL in cui la stessa risorsa è stata vista o segnalata, come indicatori di compromissione (IoC).
Se rilevano la stessa risorsa nell'URL / server di destinazione, la segnaleranno (cioè la presenza di un noto file malware rappresentato da un hash SHA-256, che in teoria non dovrebbe cambiare poiché è una permutazione a botola )
VirusTotal fa qualcosa di simile, aggiunge anche il fatto che il servizio urlscan.io utilizza l'API Navigazione sicura di Google:
The Safe Browsing lists consist of variable length SHA256 hashes (see List Contents). To check a URL against a Safe Browsing list (either locally or on the server), clients must first compute the hash prefix of that URL.
When using the Lookup API to check URLs, the client sends the actual URL in the request and Safe Browsing server converts the URL to a hash before performing the check (see Checking URLs for the Lookup API).
Leggi altre domande sui tag malware reconnaissance forensics indicator-of-compromise