Threat Investigation using OSINT Online Tools

 

Hi hi! So, this is another cheat sheet for security analysts and researchers which often rely on OSINT (Open Source Intelligence) tools to investigate malware samples and gather actionable insights about potential threats. These tools provide information on malware samples, network communications, domain and IP reputation, as well as any related indicators of compromise (IOCs). This guide will help you to get more information for your threat intelligence needs.

Color Guide:

Color Description
🟒 Yes, it can do that! OR Yes, it has the feature!
πŸ”΄ No, it cannot do that! OR No, it doesn’t have the feature!
🟑 Depends on user/subscription level

Note: The list and guidance might contain errors due to my mistakes or oversights. Please double-check everything yourself and feel free to provide feedback! :D

Malware Sample

Tool File Hash Upload Detection File Path File Names Similarity Download Cmd Line Details String/Int Bytes Relation Behavior Network YARA New PCAP Mem Dump S’box MultiAV Src Code
VirusTotal 🟒 🟒 🟒 🟒 🟒 🟒 🟑 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 πŸ”΄
Threatbook 🟒 🟒 🟒 🟒 🟒 πŸ”΄ 🟑 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄ 🟒 πŸ”΄
Tri.age 🟒 🟒 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 🟒 πŸ”΄
Any.Run 🟒 🟒 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
HybridAnalysis 🟒 🟒 🟒 🟒 🟒 πŸ”΄ 🟑 🟒 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 🟒 🟒 πŸ”΄
Joe Sandbox 🟒 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 🟒 πŸ”΄
OpenTIP 🟒 🟒 🟒 🟑 🟒 πŸ”΄ πŸ”΄ 🟑 🟒 🟑 πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Filescan 🟒 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄
Jotti 🟒 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄
AlienVault 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄
ThreatFox 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
Talos Intel 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
X-Force 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
Malshare 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄
ThreatMiner 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
Qianxin 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 🟒 🟒 🟒 🟒 🟒 🟒 🟒 πŸ”΄ 🟒 🟒 πŸ”΄ 🟒 πŸ”΄
GH Search or grep.app 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒
Google / X 🟒 πŸ”΄ πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ 🟒 πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒
MalwareBazaar 🟒 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
VX 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
Wayback 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒

Network: Domain, IP, Cert

Tool Whois IP DNS URLs Certs C2 Hunting
VirusTotal 🟒 🟒 🟒 🟒 🟒 🟒
Threatbook 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄
OpenTIP 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Tri.age πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄
Any.Run πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
HybridAnalysis πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Joe Sandbox πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Filescan πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
AlienVault πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄
ThreatFox πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Talos Intel 🟒 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄
X-Force πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Pulsedive πŸ”΄ 🟒 🟒 πŸ”΄ 🟒 πŸ”΄
ThreatMiner πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Qianxin πŸ”΄ 🟒 🟒 🟒 🟒 πŸ”΄
Google / X πŸ”΄ 🟒 🟒 🟒 πŸ”΄ πŸ”΄
Censys πŸ”΄ 🟒 🟒 🟒 🟒 🟒
Shodan πŸ”΄ 🟒 🟒 🟒 🟒 🟒
FOFA πŸ”΄ 🟒 🟒 πŸ”΄ 🟒 🟒
Validin 🟒 🟒 🟒 πŸ”΄ 🟒 🟒
DNSlytics 🟒 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄
RiskIQ 🟒 🟒 🟒 πŸ”΄ 🟒 πŸ”΄
Driftnet 🟒 🟒 🟒 🟒 🟒 πŸ”΄
SilentPush 🟒 🟒 🟒 🟒 πŸ”΄ πŸ”΄
BinaryEdge πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ 🟒
Hunt.io πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ 🟒
ZoomEye πŸ”΄ 🟒 🟒 πŸ”΄ 🟒 πŸ”΄
crt.sh πŸ”΄ πŸ”΄ 🟒 πŸ”΄ 🟒 πŸ”΄
GreyNoise πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
URLScan πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄
Wayback Machine πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄
URLHaus πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄
Criminal IP πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄
APIVoid πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
SSLBlacklist πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄ 🟒 πŸ”΄
FeodoTracker πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
DNSDumpster πŸ”΄ πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄
AbuseIPDB πŸ”΄ 🟒 πŸ”΄ πŸ”΄ πŸ”΄ πŸ”΄
Gordon πŸ”΄ 🟒 🟒 πŸ”΄ πŸ”΄ πŸ”΄

Email Data

Tool Email Sender Email Object Email Header
Google Toolbox πŸ”΄ πŸ”΄ 🟒
thatsthem 🟒 πŸ”΄ πŸ”΄
Qianxin 🟒 πŸ”΄ πŸ”΄
OSINT Industries 🟒 πŸ”΄ πŸ”΄

Enrichment / Ransomware

Tool Data Leak Ransomware Stealer Credential
Twitter 🟒 🟒 🟒 🟒
Ransomwatch πŸ”΄ 🟒 πŸ”΄ πŸ”΄
RansomLook πŸ”΄ 🟒 πŸ”΄ πŸ”΄
Ransom-db πŸ”΄ 🟒 πŸ”΄ πŸ”΄
Ransomware.live πŸ”΄ 🟒 πŸ”΄ πŸ”΄