公共情报工具automater的基本使用

kali下工具集成的非常全，automater这款工具是一个开源智能的搜索信息工具（在我看来）

它可以进行ip，url，以及hash值的查询或一个<包含了目标的文件>。automater的主要查询站点在它的配置文件/usr/share/automater/tekdefense.xml中，另一个配置文件相同目录下的/sites.xml已经启用。

下图是automater工具的未加参数界面

一些主要参数的具体功能

一般我们的惯用参数是automater 84c82835a5d21bbcf75a61706d8ab549 -Vvr -a FireFox

以下我们分析了前段时间的想哭蠕虫文件hash值

在各种源中都检测出了这是恶意木马，蠕虫。

同时如果在运行automater时，前几行出现“warning”的信息，可能是证书认证的问题。

运行pip install certifi
pip install requests==2.7.0 这两条命令即可恢复正常。

 

查询一个DNS的IP网址：114.114.114.114

恶意网址网站的DNS解析都是用114，所以返回匹配的恶意网址。

在VT（VirusTotal）返回结果中选择一个，使用浏览器登录看看：

也可以看到一些检测的恶意apk历史记录。

也可以看到用DGA生成的恶意域名

DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效。

还会包括一些我们做渗透测试时候的用IP查域名等等操作。

在做恶意代码分析的时候会用到很多，因为一个恶意代码会去请求一个IP或者URL，我们就不用自己去查东查西的，直接用这个工具就可以了。