lunes, abril 08, 2013

Whois histórico: Whois.ws y Domain Tools

Esta semana pasada, la noticia que más me ha llamado la atención ha sido la investigación de Krebs on Security en la que ponía de manifiesto quién estaba detrás de OSX/Flashback, el malware que más equipos Mac OS X ha infectado de la historia y que tambaleó a la propia Apple. Por supuesto, después de esto, Apple ya no se atrevió a dar "aquellos" mensajes de seguridad en Mac OS X.

En la investigación, Krebs utiliza técnicas OSINT para localizar al creador del malware, comenzando por un mensaje en un foro de BlackSEO en el que presumia de ser el creador de dicho malware y en su perfil del foro anunciaba un sitio web llamado mavook.com. Y ahí la cagó el delincuente.

Figura 1: En el foro de BlackSEO de define como "Creator of FlashBack botnet for Macs"

A partir de ese dominio, Krebs utilizó un servicio de Whois histórico para encontrar quién fue el primero que registró ese dominio, y sacó un nombre y un correo electrónico. El resto fue tirar del hilo para sacar perfiles de Facebook, cuentas de Skype, otros correos electrónicos, otras webs, y acabar poniendo nombre, apellidos, edad y lugar dónde vivía y trabajaba el creador de la botnet.

La clave de la investigación fue el servicio de Whois histórico, pues a pesar de que tenía todos los datos ocultos a día de hoy - así aparecen en la base de datos actualmente - Domain Tools provee un servicio donde se encuentra la historia de todos los cambios de ese registro. El servicio es de pago, pero como demuestra este artículo merece la pena.

He estado buscando por Internet a ver si había otros servicios similares de Whois histórico, y lo único que he encontrado ha sido el servicio de Whois.ws, que tiene "algo" de la información histórica de los dominios, como se puede ver en este caso con Apple.com

Figura 2: Izquierda registro en 2009 a la derecha registro en 2013

Ahí también se pueden ver cosas como qué sucedió con los dominios ocupados, como en el caso de Applecom.com, donde antes de pasar a estar protegido por la compañía Apple, estuvo ocupado por otra empresa con no-sé-deciros-qué-fines.

Figura 3: Izquierda registro de 2009 de Applecom.com a la derecha el registro actual de 2012

Si conocéis algún servicio similar que provee Whois histórico, os agradeceré la información, si no, creo que voy a sacarme la cuenta premium, que merece la pena.

Saludos Malignos!

7 comentarios:

  1. Who.is también dispone de un servicio como esos, solo hay que buscar el dominio y entre los resultados entrar a la pestaña "History"

    ResponderEliminar
  2. who.is <=> whois.ws
    =)

    ResponderEliminar
  3. Hola Chema,

    Echa un ojo a estas paginas:
    http://centralops.net/co/
    http://tools.whois.net/
    http://itools.com/tool/arin-whois-domain-search

    ResponderEliminar
  4. @peritajesinformatico
    Nosotros hemos utilizado el servicio whowas de arin
    https://www.arin.net/resources/whowas/..

    ResponderEliminar
  5. Aprovecho este post para preguntar algo relacionado: ¿Alguno sabe de una base de datos donde pueda ver el histórico de los registros MX asociados a un dominio?

    Encontré dnshistory.org, pero no es muy completa...

    ¡Muchas gracias!

    ResponderEliminar
  6. Buenas tardes,

    Como Herramienta de OSINT para la recolección del histórico de un WHOIS os recomendamos la "Demo" de la Whois History API en https://www.whoxy.com/whois-history/demo.php

    Nos aportara outputs en JSON y XML. Y lo importante no necesita de registro xD

    Un saludo. 1v4n

    ResponderEliminar
  7. Hay una página de phising

    Que está bien protegida
    Porque no muestra correo ni ningún dato
    Del dueño

    Al parecer los hizo con dominios de Google

    ResponderEliminar