Threat Intelligence
Threat Intelligence
Nota atomica extraida de la seccion "Threat Intelligence" del master osint-references-master. Concepto unico = nota propia.
Recursos (de awesome-osint)
- Threat Actor Usernames Scrape - A collection of fresh intel and 350k+ threat actor usernames scraped from various cybercrime sources & forums.
- GitGuardian - Public GitHub Monitoring - Monitor public GitHub repositories in real time. Detect secrets and sensitive information to prevent hackers from using GitHub as a backdoor to your business.
- OnionScan - Free and open source tool for investigating the Dark Web. Its main goal is to help researchers and investigators monitor and track Dark Web sites.
- onion-lookup - Free online service and API for checking the existence of Tor hidden services (.onion address) and retrieving their associated metadata. onion-lookup relies on an private AIL instance to obtain the metadata.
- OTX AlienVault - Open Threat Exchange is the neighborhood watch of the global intelligence community. It enables private companies, independent security researchers, and government agencies to openly collaborate and share the latest information about emerging threats, attack methods, and malicious actors, promoting greater security across the entire community.
- Pharos AI - Real-time open-source intelligence dashboard for conflict tracking with interactive geospatial visualization, multi-source RSS monitoring, and actor dossiers.
- PhishingSecLists - This list is to be used with web scanning tools (Gobuster, ffuf, Burp Suite, DirBuster). These lists are specifically tailored and designed for fuzzing phishing, crypto scam landing pages, and other malicious sketch af websites. You can gain vaulable intel on successful hits.
- REScure Threat Intel Feed - REScure is an independent threat intelligence project which we undertook to enhance our understanding of distributed systems, their integration, the nature of threat intelligence and how to efficiently collect, store, consume, distribute it.
- STIX Viewer - An online free STIX 2.1 viewer / visualizer.
Desde Inbox: Blacklist-Blocklist
Importado desde
Inbox/Blacklist-Blocklist.mddurante consolidacion bulk.
Blacklist y Blocklist - Herramientas de Verificacion de Reputacion
Resumen
Catalogo completo de herramientas para verificacion de reputacion de IPs y URLs, deteccion de phishing y consulta de listas negras. Incluye bases de datos de IPs maliciosas, verificadores de URLs de phishing y herramientas de analisis de reputacion.
Categoria
Reputacion IP / Deteccion de phishing / Listas negras.
Herramientas y Recursos
Verificacion de IP y Blacklists
| Herramienta | Enlace | Descripcion |
|---|---|---|
| IP Blacklist Check | IPVOID | Verificacion de IP en multiples blacklists |
| Feodo Tracker | Abuse CH | Rastreo de C2 de botnets Feodo/Dridex/Emotet |
| AbuseIPDB | AbuseIPDB | Base de datos colaborativa de IPs abusivas |
| Blacklist MXToolbox | MXTOOLBOX | Consulta de blacklists de correo |
Deteccion y Analisis de Phishing
| Herramienta | Enlace | Descripcion |
|---|---|---|
| CheckPhish | CheckPhish | Deteccion de phishing con IA |
| EasyDmarc | EasyDmarc | Verificador de URLs de phishing |
| IsitPhishing | IsitPhishing | Verificacion de URLs sospechosas |
| OpenPhish | OpenPhish | Feed de phishing en tiempo real |
| PhishBank | PhishBank | Banco de datos de phishing |
| Phishing Kit | GitHub | Repositorio de kits de phishing conocidos |
| Phishing.Database | GitHub | Base de datos de dominios de phishing |
| PhishingArmy | PhishingArmy | Lista de URLs de phishing |
| PhishingCheck | PhishCheck | Verificador rapido de phishing |
| PhishHunt | PhishHunt | Caza de sitios de phishing |
| PhishStats | PhishStats | Estadisticas de phishing en tiempo real |
| PhishTank | PhishTank | Base de datos colaborativa de phishing |
| StopForumSpam | StopForumSpam | Base de datos de spammers |
| ThreatCop | ThreatCop | Verificador de URLs maliciosas |
| urlscan.io | urlscan.io | Analisis completo de URLs |
Casos de Uso
- Verificar reputacion de IPs en investigaciones de incidentes
- Detectar y catalogar campanas de phishing activas
- Alimentar listas de bloqueo en infraestructura de seguridad
- Parte del flujo de investigacion de domain-ip-research
Notas
- AbuseIPDB y urlscan.io son los mas completos para uso diario
- PhishTank tiene API publica para automatizacion
- Herramientas compartidas con data-breach-search-engines y web-history-capture
Desde Inbox: CERT's y Organismos Publicos
Importado desde
Inbox/CERT's y Organismos Publicos.mddurante consolidacion bulk.
CERTs y Organismos Publicos - Fuentes Oficiales de Ciberseguridad
Resumen
Directorio de fuentes oficiales de ciberseguridad de organismos publicos. Incluye CERTs nacionales espanoles (CCN-CERT, INCIBE) y la agencia estadounidense CISA, con enlaces directos a sus secciones de informes, blogs y alertas.
Categoria
Fuentes oficiales / CERTs / Organismos gubernamentales de ciberseguridad.
Herramientas y Recursos
| Organismo | Enlace | Tipo |
|---|---|---|
| CCN-CERT | CCN-CERT - Informes | CERT nacional de Espana (CNI) |
| INCIBE-CERT | INCIBE - Informes | CERT para ciudadanos y empresas (Espana) |
| INCIBE Blog | INCIBE - Blog | Blog de ciberseguridad para empresas |
| CISA | CISA - Blog | Agencia de ciberseguridad de EEUU |
| CISA Alertas | CISA - Alertas | Alertas de ransomware de CISA |
Casos de Uso
- Seguimiento de alertas oficiales de ciberseguridad
- Fuente primaria para reportes de vulnerabilidades
- Referencia para alertas de ransomware (CISA StopRansomware)
- Complemento a los osint-blogs de proveedores privados
Notas
- CCN-CERT es la referencia para administracion publica espanola
- INCIBE es la referencia para empresas y ciudadanos en Espana
- Ver social-media-tools para las cuentas oficiales de estos organismos
- Ver osint-blogs para proveedores CTI privados
Desde Inbox: Coleccion de IOC's
Importado desde
Inbox/Coleccion de IOC's.mddurante consolidacion bulk.
Resumen
Directorio de las 4 plataformas principales para la coleccion y consulta de Indicadores de Compromiso (IOCs). Incluye valoracion de utilidad mediante estrellas y enlaces directos a cada plataforma.
Categoria
Plataformas de coleccion de IOCs: hashes, IPs, dominios, URLs maliciosas.
Herramientas y Recursos
| Plataforma | URL | Rating | Descripcion |
|---|---|---|---|
| OTX - AlienVault | Link | 3/3 | Plataforma colaborativa de inteligencia de amenazas con pulsos de IOCs compartidos por la comunidad |
| X-Force Exchange - IBM | Link | 2/3 | Base de datos de amenazas de IBM con IOCs, vulnerabilidades y reportes |
| ThreatFox - Abuse.ch | Link | 2/3 | Plataforma de Abuse.ch para compartir IOCs asociados a malware |
| Maltiverse | Link | 3/3 | Motor de busqueda de IOCs con enrichment automatico y feeds |
Casos de Uso
- Busqueda rapida de IOCs especificos (hashes, IPs, dominios)
- Enriquecimiento de alertas del SOC con contexto de amenazas
- Validacion cruzada de indicadores entre multiples plataformas
- Alimentacion de reglas de deteccion en SIEM/EDR
Notas
- AlienVault OTX y Maltiverse destacan como las mas utiles (rating 3/3)
- Se recomienda consultar al menos 2 plataformas para confirmar un IOC
- Complementar con threat-actor-search para analisis dinamico de muestras
Desde Inbox: Indicadores de Compromiso
Importado desde
Inbox/Indicadores de Compromiso.mddurante consolidacion bulk.
Resumen
Nota indice que organiza los recursos de Indicadores de Compromiso (IOCs) por categoria de indicador. Sirve como punto de entrada al ecosistema de herramientas de investigacion de IOCs dentro del cheatsheet CTI-OSINT.
Categoria
Indice de recursos de IOCs: hashes, colecciones, IPs, dominios, URLs, sandboxes.
Herramientas y Recursos
| Categoria | Enlace | Descripcion |
|---|---|---|
| Hashes | metadata-extraction | Recursos para busqueda y verificacion de hashes de malware |
| Coleccion de IOCs | threat-intelligence-feeds | Plataformas de coleccion de IOCs (OTX, X-Force, ThreatFox, Maltiverse) |
| Direcciones IP | domain-ip-research | Herramientas de analisis y reputacion de direcciones IP |
| Dominios | domain-ip-research | Recursos de investigacion de dominios maliciosos |
| URLs | web-history-capture | Herramientas de analisis y escaneo de URLs |
| Sandboxes Online | threat-actor-search | Plataformas de detonacion y analisis dinamico de malware |
Casos de Uso
- Punto de partida para investigacion de IOCs en incidentes de seguridad
- Navegacion rapida a herramientas especializadas por tipo de indicador
- Referencia durante procesos de triage y respuesta a incidentes
Notas
- Este indice forma parte de la estructura principal del cti-osint-cheatsheet
- Cada categoria enlaza a una nota dedicada con herramientas especificas
- La categoria mas completa es threat-intelligence-feeds con 4 plataformas evaluadas
Desde Inbox: Informes
Importado desde
Inbox/Informes.mddurante consolidacion bulk.
Resumen
Directorio de 12 proveedores principales de inteligencia de amenazas con enlaces directos a sus portales y blogs de investigacion. Fuentes de referencia para reportes de amenazas, analisis de campañas y inteligencia accionable.
Categoria
Proveedores de inteligencia de amenazas: blogs, portales de investigacion y reportes.
Herramientas y Recursos
| Proveedor | URL | Descripcion |
|---|---|---|
| UNIT42 de Palo Alto | Link | Division de investigacion de amenazas de Palo Alto Networks |
| Intel471 | Link | Inteligencia de cibercrimen y underground |
| CrowdStrike | Link | Plataforma de endpoint protection y threat intelligence |
| Red Canary | Link | Blog de deteccion y respuesta a amenazas |
| Trellix | Link | Investigacion de amenazas avanzadas (ex McAfee/FireEye) |
| Mandiant | Link | Investigacion de APTs y respuesta a incidentes (Google) |
| Recorded Future | Link | Plataforma de inteligencia de amenazas con AI |
| Flashpoint | Link | Inteligencia de deep/dark web y amenazas |
| Group-IB | Link | Investigacion de cibercrimen y fraude |
| BlackBerry | Link | Blog de investigacion de amenazas de Cylance/BlackBerry |
| SOCRadar | Link | Inteligencia de amenazas y surface web monitoring |
| Trend Micro | Link | Investigacion de amenazas y seguridad enterprise |
Casos de Uso
- Seguimiento diario de amenazas emergentes a traves de blogs de vendors
- Obtencion de reportes detallados de campañas y threat actors
- Correlacion de inteligencia entre multiples proveedores
- Alimentacion de briefs de inteligencia estrategica y tactica
Notas
- UNIT42 y Mandiant destacan por la profundidad de sus analisis de APTs
- Intel471 y Flashpoint son referencia para inteligencia del underground
- Forma parte de la estructura de threat-intelligence-feeds
Desde Inbox: Planes de Mitigacion
Importado desde
Inbox/Planes de Mitigacion.mddurante consolidacion bulk.
Resumen
Directorio de 3 frameworks y herramientas clave para planes de mitigacion de amenazas. Incluye mitigaciones oficiales MITRE ATT&CK, mapeo de controles NIST/MITRE y una matriz de controles especifica para ransomware.
Categoria
Frameworks de mitigacion: controles, mapeos y matrices de respuesta.
Herramientas y Recursos
| Recurso | URL | Descripcion |
|---|---|---|
| MITRE ATT&CK Mitigaciones | Link | Catalogo oficial de mitigaciones mapeadas a tecnicas ATT&CK |
| Control Validation Compass | Link | Mapeo cruzado de controles NIST y MITRE ATT&CK para validacion |
| Ransomware Control Matrix | Link | Matriz de controles especificos para prevencion y respuesta a ransomware |
Casos de Uso
- Identificar mitigaciones aplicables a tecnicas ATT&CK detectadas en un incidente
- Validar cobertura de controles existentes contra tecnicas de adversarios conocidos
- Diseñar planes de mitigacion especificos para amenazas de ransomware
- Mapear controles NIST contra tecnicas MITRE para evaluaciones de seguridad
Notas
- MITRE ATT&CK Mitigaciones es la referencia autoritativa para mapeo tecnica-mitigacion
- Control Validation Compass es ideal para gap analysis entre frameworks
- Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT
Desde Inbox: Proveedores de Inteligencia
Importado desde
Inbox/Proveedores de Inteligencia.mddurante consolidacion bulk.
Resumen
Nota indice que organiza los proveedores de inteligencia de amenazas en tres categorias: blogs de investigacion de amenazas, informes de vendors CTI y repositorios de reportes. Sirve como punto de acceso a las fuentes primarias de reporting CTI.
Contenido Principal
Categorias de Proveedores
| Categoria | Enlace | Descripcion |
|---|---|---|
| Blogs | osint-blogs | Blogs de investigacion de amenazas de vendors CTI |
| Informes | threat-intelligence-feeds | Listado de proveedores de inteligencia con enlaces a sus portales |
| Repositorios de Informes | threat-intelligence-feeds | Repositorios de reportes de amenazas (ORKL, Ransomware Reports, VX-Underground) |
Puntos Clave
- Tres categorias complementarias de fuentes de inteligencia
- Los blogs proporcionan analisis en tiempo real de amenazas emergentes
- Los repositorios agregan reportes historicos para investigacion retrospectiva
- Los informes de vendors ofrecen inteligencia curada y contextualizada
Aplicacion Practica
- Consultar blogs para seguimiento diario de amenazas
- Usar repositorios para investigacion historica de campañas
- Cruzar fuentes de multiples proveedores para validar inteligencia
Referencias
- threat-actor-search - Indice padre de recursos de threat actors
- cti-osint-cheatsheet - Estructura principal del cheatsheet
Desde Inbox: Repositorio de Amenazas
Importado desde
Inbox/Repositorio de Amenazas.mddurante consolidacion bulk.
Resumen
Directorio de 9 plataformas de threat intelligence para busqueda, enrichment y analisis de amenazas. Cubre desde motores multiescaner (VirusTotal) hasta plataformas especializadas de inteligencia de red (Greynoise, Binary Edge, Criminal IP).
Categoria
Plataformas de threat intelligence: busqueda, enrichment y analisis de amenazas.
Herramientas y Recursos
| Plataforma | URL | Descripcion |
|---|---|---|
| VirusTotal | Link | Motor multiescaner con analisis de archivos, URLs, IPs y dominios |
| ThreatFox - Abuse.ch | Link | Plataforma colaborativa de IOCs asociados a malware |
| OTX - AlienVault | Link | Plataforma de inteligencia colaborativa con pulsos de IOCs |
| BlueLiv Community | Link | Comunidad de inteligencia de amenazas (Outpost24) |
| X-Force Exchange - IBM | Link | Base de datos de amenazas de IBM |
| Pulsedive | Link | Plataforma de inteligencia de amenazas con enrichment |
| Greynoise | Link | Inteligencia de escaneo masivo de internet (noise vs targeted) |
| Binary Edge | Link | Motor de busqueda de superficie de ataque |
| Criminal IP | Link | Motor de busqueda de inteligencia de IPs y dominios |
Casos de Uso
- Busqueda y enrichment de IOCs durante investigacion de incidentes
- Analisis de reputacion de IPs, dominios y hashes sospechosos
- Identificacion de escaneo dirigido vs ruido de internet (Greynoise)
- Mapeo de superficie de ataque externa (Binary Edge, Criminal IP)
- Verificacion cruzada de indicadores entre multiples plataformas
Notas
- VirusTotal y OTX son las plataformas mas versatiles para uso general
- Greynoise aporta contexto unico al distinguir entre escaneo masivo y actividad dirigida
- Criminal IP y Binary Edge son utiles para evaluacion de superficie de ataque
- Complementar con threat-actor-search para analisis dinamico de muestras
Desde Inbox: Repositorios de Informes
Importado desde
Inbox/Repositorios de Informes.mddurante consolidacion bulk.
Resumen
Directorio de 3 repositorios principales para acceder a informes de amenazas y ransomware. Incluye una base de datos buscable de reportes CTI, una coleccion curada de reportes de ransomware en GitHub y el archivo de VX-Underground.
Categoria
Repositorios de reportes: bases de datos, colecciones curadas, archivos de investigacion.
Herramientas y Recursos
| Repositorio | URL | Descripcion |
|---|---|---|
| ORKL | Link | Base de datos buscable de reportes CTI de multiples vendors y fuentes |
| Ransomware Reports - GitHub | Link | Coleccion curada de reportes de ransomware por d4rk-d4nph3 |
| VX-Underground | Link | Archivo extenso de investigacion de malware, muestras y reportes |
Casos de Uso
- Buscar reportes historicos sobre un threat actor o campana especifica
- Investigar evolución de familias de ransomware a traves de reportes
- Acceder a analisis tecnicos detallados de malware
- Recopilar fuentes para informes de inteligencia estrategica
Notas
- ORKL es la herramienta mas eficiente para busqueda de reportes por keywords
- La coleccion GitHub de d4rk-d4nph3 se enfoca exclusivamente en ransomware
- VX-Underground combina reportes con muestras de malware para analisis completo
- Forma parte de la estructura de threat-intelligence-feeds