Esta semana pasada, la noticia que más me ha llamado la atención ha sido la investigación de Krebs on Security en la que ponía de manifiesto quién estaba detrás de OSX/Flashback, el malware que más equipos Mac OS X ha infectado de la historia y que tambaleó a la propia Apple. Por supuesto, después de esto, Apple ya no se atrevió a dar "aquellos" mensajes de seguridad en Mac OS X.
En la investigación, Krebs utiliza técnicas OSINT para localizar al creador del malware, comenzando por un mensaje en un foro de BlackSEO en el que presumia de ser el creador de dicho malware y en su perfil del foro anunciaba un sitio web llamado mavook.com. Y ahí la cagó el delincuente.
Figura 1: En el foro de BlackSEO de define como "Creator of FlashBack botnet for Macs" |
A partir de ese dominio, Krebs utilizó un servicio de Whois histórico para encontrar quién fue el primero que registró ese dominio, y sacó un nombre y un correo electrónico. El resto fue tirar del hilo para sacar perfiles de Facebook, cuentas de Skype, otros correos electrónicos, otras webs, y acabar poniendo nombre, apellidos, edad y lugar dónde vivía y trabajaba el creador de la botnet.
La clave de la investigación fue el servicio de Whois histórico, pues a pesar de que tenía todos los datos ocultos a día de hoy - así aparecen en la base de datos actualmente - Domain Tools provee un servicio donde se encuentra la historia de todos los cambios de ese registro. El servicio es de pago, pero como demuestra este artículo merece la pena.
He estado buscando por Internet a ver si había otros servicios similares de Whois histórico, y lo único que he encontrado ha sido el servicio de Whois.ws, que tiene "algo" de la información histórica de los dominios, como se puede ver en este caso con Apple.com
Figura 2: Izquierda registro en 2009 a la derecha registro en 2013 |
Ahí también se pueden ver cosas como qué sucedió con los dominios ocupados, como en el caso de Applecom.com, donde antes de pasar a estar protegido por la compañía Apple, estuvo ocupado por otra empresa con no-sé-deciros-qué-fines.
Si conocéis algún servicio similar que provee Whois histórico, os agradeceré la información, si no, creo que voy a sacarme la cuenta premium, que merece la pena.
Saludos Malignos!
Who.is también dispone de un servicio como esos, solo hay que buscar el dominio y entre los resultados entrar a la pestaña "History"
ResponderEliminarwho.is <=> whois.ws
ResponderEliminar=)
Hola Chema,
ResponderEliminarEcha un ojo a estas paginas:
http://centralops.net/co/
http://tools.whois.net/
http://itools.com/tool/arin-whois-domain-search
@peritajesinformatico
ResponderEliminarNosotros hemos utilizado el servicio whowas de arin
https://www.arin.net/resources/whowas/..
Aprovecho este post para preguntar algo relacionado: ¿Alguno sabe de una base de datos donde pueda ver el histórico de los registros MX asociados a un dominio?
ResponderEliminarEncontré dnshistory.org, pero no es muy completa...
¡Muchas gracias!
Buenas tardes,
ResponderEliminarComo Herramienta de OSINT para la recolección del histórico de un WHOIS os recomendamos la "Demo" de la Whois History API en https://www.whoxy.com/whois-history/demo.php
Nos aportara outputs en JSON y XML. Y lo importante no necesita de registro xD
Un saludo. 1v4n
Hay una página de phising
ResponderEliminarQue está bien protegida
Porque no muestra correo ni ningún dato
Del dueño
Al parecer los hizo con dominios de Google