Iptodomain Esta herramienta desarrollada en python por Juan Esteban Valencia Pandoja, permite extraer dominios y subdominios de un rango de IP, utilizando la información histórica archivada en Virustotal (utilizando clave API). Iptodomain es de gran utilidad si quieres saber qué dominios están detrás de una dirección IP o de todo un rango de direcciones IP, permitiendo una exploración amplia y certera sobre nuestro objetivo. Las distintas alternativas de comandos y otros aspectos de esta util herramienta lo encuentras en el repositorio del autor github

Para instalar esta herramienta en tu sistema, requieres contar con python2.x y simplemente clonarlo desde Github usando el siguiente comando: git clone https://github.com/jevalenciap/iptodomain.git, como se aprecia a continuación:

Utilizaremos iptodomain para buscar y extraer dominios de algunas IP del rango a que pertenece el nombre de dominio todolinux.cl y generaremos los reportes respectivos con el siguiente comando: “python iptodomain.py -i 161.0.191.2 -f 161.0.191.4 -o 161.0.191.4.txt -v -r IpsCF.txt”. Como descubriras en la siguiente imagen, en el pequeño rango de busqueda figura un solo nombre de dominio “todolinux.cl” y se generaron los archivos .txt respectivos:

Al probar esta util herramienta me surgio curiosidad sobre VirusTotal, que resulto ser una iniciativa de una subsidiaria de Google, que consiste en un servicio gratuito en línea que analiza archivos y URLs permitiendo la identificación de virus, gusanos, troyanos y otros tipos de contenido malicioso detectados por motores antivirus y escáneres de sitios web.

VirusTotal, es un servicio gratuito siempre que su uso no tenga fines comerciales y no se convierta en parte de ninguna actividad empresarial. A pesar de que el servicio funciona con motores pertenecientes a diferentes empresas y organizaciones, VirusTotal no distribuye ni anuncia productos pertenecientes a terceros, sino que simplemente actúa como un agregador de información, ejecutando varios motores antivirus y escáneres de sitios web, con utiles estadisticas sobre su uso.

Este servicio online y gratuito lo encuentran en VirusTotal y como podras apreciar en las siguientes imágenes es de fácil uso y gran utilidad:

Las firmas de malware de las soluciones antivirus presentes en VirusTotal se actualizan periódicamente a medida que son desarrolladas y distribuidas por las compañías antivirus. La frecuencia de sondeo de actualización es de 15 minutos, lo que garantiza que los productos utilizan los últimos juegos de firmas. La exploración del sitio web se realiza a través de consultas API a las diferentes empresas que proporcionan la solución en particular, por lo tanto, la versión más actualizada de su conjunto de datos siempre se utiliza, y adicionalmente nos presenta diversas estadisticas como pueden ver:

Paises Requirentes

Tipo de Archivos

VirusTotal no solo le señala si una solución antivirus dada ha detectado un archivo enviado, sino que también muestra la etiqueta de detección exacta devuelta por cada motor (por ejemplo, I-Worm.Allaple.gen). Esta característica también está presente en los escáneres URL. La mayoría de ellos discriminarán sitios de malware, sitios de phishing, sitios sospechosos, etc. Además, algunos de los motores proporcionarán información adicional explicando si una determinada URL pertenece a una determinada botnet, qué marca está dirigida por un sitio de phishing, etc.

Espero que este POST sea un aporte, hasta pronto si Dios quiere.