URLQuery

Con el auge de las infecciones de malware, cada vez mas van surgiendo servicios online que proporcionan escaneos de malware de diferente índole.

Algunos de estos servicios pueden ser Virus Total, Anubis ISecLAB y el que voy a explicar hoy, que es URLQuery.

Este servicio es la caña y la verdad es que se ha echo muy popular para el análisis de los Exploits Kits.

Vamos a ver un ejemplo de como funciona:

url1

Como veis, abajo podemos ver los últimos análisis que se han ido haciendo, tenemos un cuadro de búsqueda desde donde podremos buscar dominios que hayan sido infectados con malware u otras amenazas.

Si queremos analizar una nueva URL, solo deberemos de introducirla y lanzar la URL a escanear.

url2

Lanzamos el análisis y URLQuery analizará la web.

url3

Podremos ver detalles como la IP. el location y exactamente con que User Agent se lanzará el análisis.

url4

En este caso, la URL que he mandado a analizar no contenía ningún rastro de malware.

url5

En un análisis, URLQuery ofrece varios apuntes en los report. URLQuery tiene por detrás productos IDS como Snort o Suricata, por lo tanto si hay algo en la página que se está analizando que tenga que saltar por alguna regla de IDS lo veremos reflejado.

También podremos ver cosas como, si en el mismo ASN, se han encontrado o se encontraron dominios que estaban infectados pues saldrán en el report.De esta manera podemos sacar mas información.

url6

En el caso de que hubiera javascripts que cargaron algo del tipo malicioso en la página saldrían en el report.

url8

Este es un ejemplo de cuando la web ha echo una petición en la que ha saltado una alerta en los sistemas de análisis de URLQuery

url9

Podremos ver el detalle de la alerta. Además de que nos saldrá el código para que podamos analizarlo.

url10

Hay una cosa muy interesante que tiene URLQuery y es que podemos cambiar cosas como el UserAgent o Referer por si el Exploit Kit o web maliciosa espera algo en concreto para poder infectar la usuario.

Vamos a ver algunas de las estadísticas de URLQuery

url11

Estas son las URL que se han procesado en URLQuery y cuantas de ellas se han marcado como maliciosas.

url12

Esta parte va muy bien para ver el tipo de tendencias en explotación que están habiendo.

url13

Del tipo de alertas que saltan en URLQuery el top 5

URLQuery  es un buen servicio para analizar webs maliciosas, podremos ver estadísticas de Exploits Kits, alertas etc…

[+]URLQuery => https://urlquery.net/index.php


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES