Maltego y SpiderFoot: Investigacion de Infraestructura y Pivoting
Maltego y SpiderFoot como herramientas de investigacion de infraestructura en CTI. Transforms, modulos, pivoting de IOCs, passive DNS, certificate transparency y mapeo de C2.
Investigar infraestructura maliciosa requiere herramientas que transformen un IOC aislado en un mapa completo de la operacion adversaria
Cuando un analista CTI recibe un indicador (una IP, un dominio, un hash), ese dato aislado tiene valor limitado. El valor real aparece cuando ese indicador se conecta con otros: quien registro el dominio, que otros dominios comparten el mismo certificado, que IPs resolvieron historicamente ese FQDN. Maltego y SpiderFoot son las dos herramientas de referencia para este trabajo de investigacion y pivoting.
Maltego: investigacion visual basada en grafos
Maltego es la herramienta de analisis de enlaces mas establecida en el ecosistema CTI. Su concepto central son los transforms: funciones que toman una entidad (IP, dominio, email, hash) y devuelven entidades relacionadas consultando fuentes de datos externas.
Arquitectura de transforms
Un transform en Maltego sigue un patron simple:
Entidad de entrada → Consulta a fuente de datos → Entidades de salida
Por ejemplo, el transform "DNS - IP to Domain" toma una direccion IP, consulta registros DNS inversos y devuelve todos los dominios que resuelven a esa IP. Cada resultado es un nuevo nodo en el grafo que puede ser punto de partida para mas transforms.
Tipos de transforms relevantes para CTI
| Categoria | Transforms tipicos | Fuentes |
|---|---|---|
| DNS | IP to Domain, Domain to IP, DNS to MX/NS | PassiveDNS, SecurityTrails |
| WHOIS | Domain to Registrant, Email to Domains | DomainTools, WHOIS APIs |
| Certificados | Domain to SSL Cert, Cert to Domains | Censys, crt.sh |
| Malware | Hash to Family, IP to Malware Samples | VirusTotal, MalwareBazaar |
| Infraestructura | IP to ASN, IP to Geolocation, Port Scan | Shodan, Censys |
| Redes sociales | Email to Social Profiles, Username search | OSINT modules |
Maltego CE vs Pro vs XL
La eleccion de edicion afecta directamente la capacidad de investigacion:
Community Edition (CE). Gratuita. Limitada a 12 resultados por transform. Sin transforms comerciales (Shodan, PassiveTotal, DomainTools). Suficiente para aprender y para investigaciones puntuales donde 12 resultados bastan.
Pro (desde ~5.000 EUR/ano). Sin limites de resultados. Acceso a Transform Hub con 100+ integraciones comerciales. Exportacion completa de grafos. Colaboracion entre analistas.
XL. Para organizaciones grandes. Incluye todo lo de Pro mas Maltego Server para despliegue on-premise y ejecucion de transforms en infraestructura propia.
Flujo de investigacion en Maltego
Un flujo tipico de investigacion de infraestructura C2:
- Seed: insertar el IOC inicial (IP del C2 detectado)
- DNS inverso: transform IP → Dominios que resuelven a esa IP
- WHOIS: transform Dominio → Datos de registro (email, organizacion, fecha)
- Pivote por registrante: transform Email → Otros dominios del mismo registrante
- Certificados: transform Dominio → Certificados SSL asociados
- Expansion por SAN: los Subject Alternative Names del certificado revelan otros dominios del mismo operador
- Passive DNS historico: transform Dominio → IPs historicas que resolvieron ese dominio
- Geolocalizacion y ASN: contextualizar la infraestructura por ubicacion y proveedor
Cada paso anade nodos al grafo. Despues de 4 o 5 niveles de pivoting, el grafo muestra la infraestructura completa del adversario, no solo el IOC original.
SpiderFoot: reconocimiento automatizado y modular
SpiderFoot es una herramienta open source de reconocimiento automatizado. A diferencia de Maltego (donde el analista ejecuta transforms manualmente), SpiderFoot lanza todos los modulos relevantes en paralelo y consolida resultados.
Arquitectura de SpiderFoot
Target (IP/Domain/Email/Hash)
│
▼
┌─────────────┐
│ Scan Engine │ ← Configuracion de modulos activos
└──────┬──────┘
│
┌─────┼─────┬─────┬─────┐
▼ ▼ ▼ ▼ ▼
Mod1 Mod2 Mod3 Mod4 Mod5 (200+ modulos disponibles)
│ │ │ │ │
└─────┴─────┴─────┴─────┘
│
▼
┌─────────────┐
│ Results │ → Web UI / JSON / CSV
│ Database │
└─────────────┘
Modulos clave para CTI
SpiderFoot incluye mas de 200 modulos. Los mas relevantes para investigacion de infraestructura:
| Modulo | Funcion | Requiere API key |
|---|---|---|
| sfp_dnsresolve | Resolucion DNS directa e inversa | No |
| sfp_shodan | Puertos abiertos, banners, vulnerabilidades | Si |
| sfp_virustotal | Reputacion de IPs, dominios y hashes | Si |
| sfp_censys | Certificados SSL, hosts expuestos | Si |
| sfp_crtsh | Certificate Transparency logs | No |
| sfp_whois | Datos de registro de dominios | No |
| sfp_securitytrails | DNS historico y subdominios | Si |
| sfp_malwarebazaar | Hashes de malware asociados | No |
| sfp_threatfox | IOCs de C2 (abuse.ch) | No |
| sfp_abuseipdb | Reportes de abuso de IPs | Si |
| sfp_bgpview | Informacion de ASN y prefijos | No |
Instalacion y ejecucion
SpiderFoot se puede ejecutar como aplicacion web local:
# Instalacion via pip
pip install spiderfoot
# O con Docker (recomendado)
docker pull spiderfoot/spiderfoot
docker run -p 5001:5001 spiderfoot/spiderfoot
# Acceso: http://localhost:5001
Tambien soporta ejecucion por CLI para integracion en pipelines:
# Scan basico de un dominio
spiderfoot -s ejemplo.com -t INTERNET_NAME,IP_ADDRESS -o json
# Scan con modulos especificos
spiderfoot -s 198.51.100.23 -m sfp_shodan,sfp_virustotal,sfp_crtsh
SpiderFoot HX (version cloud)
Existe una version SaaS (SpiderFoot HX) que elimina la necesidad de mantener infraestructura propia. Incluye dashboards, alertas y almacenamiento persistente de scans. Relevante para equipos que necesitan monitoreo continuo de infraestructura adversaria sin gestionar servidores.
Tecnicas de pivoting: del IOC al mapa de infraestructura
El pivoting es el corazon de la investigacion CTI. Estas son las tecnicas fundamentales:
IP → Dominio (DNS inverso y Passive DNS)
El DNS inverso (registro PTR) revela el dominio asociado a una IP. Pero los atacantes rara vez configuran registros PTR. Por eso, el Passive DNS es mas util: bases de datos que registran historicamente que dominios resolvieron a que IPs.
Fuentes de Passive DNS:
- CIRCL Passive DNS (gratuito, gestionado por CIRCL Luxembourg)
- Farsight DNSDB (comercial, la base de datos mas completa)
- SecurityTrails (freemium, 50 consultas/mes gratis)
- VirusTotal (passive DNS incluido en las busquedas)
Dominio → Email (WHOIS)
Los registros WHOIS contienen el email del registrante. Aunque muchos dominios usan privacidad WHOIS, los dominios maliciosos a menudo se registran con emails desechables que se reutilizan en multiples dominios. Esa reutilizacion es oro para el analista.
Email → Mas dominios
Una vez identificado el email del registrante, se buscan otros dominios registrados con el mismo email. Herramientas: DomainTools Reverse WHOIS, WhoisXML API, SecurityTrails.
Dominio → Certificados SSL (Certificate Transparency)
Los logs de Certificate Transparency (CT) son publicos y registran cada certificado SSL emitido. Consultando CT logs (via crt.sh o Censys), se descubren:
- Subdominios del dominio investigado
- Otros dominios incluidos en el mismo certificado (Subject Alternative Names)
- Certificados historicos que revelan infraestructura antigua
# Consulta basica a crt.sh
curl -s "https://crt.sh/?q=%.ejemplo-malicioso.com&output=json" | \
jq '.[].name_value' | sort -u
Certificado → Otros dominios (SAN pivoting)
Los certificados SSL incluyen un campo Subject Alternative Names (SAN) que lista todos los dominios cubiertos por ese certificado. Cuando un atacante usa un certificado para multiples dominios de su infraestructura, el campo SAN revela toda la red.
WHOIS historico
Los registros WHOIS cambian con el tiempo. El WHOIS historico muestra versiones anteriores del registro, revelando datos del registrante antes de que activara la privacidad WHOIS. Fuentes: DomainTools WHOIS History, WhoisXML API.
Ejemplo practico: mapeo de infraestructura C2
Escenario: un analista SOC detecta conexiones desde un endpoint comprometido hacia la IP 198.51.100.23 (ejemplo). El proceso de investigacion:
Paso 1: Passive DNS de la IP
Consultar CIRCL Passive DNS o Farsight DNSDB. Resultado: la IP resolvio historicamente a update-service.ejemplo.com y cdn-static.ejemplo.com.
Paso 2: Certificate Transparency
Consultar crt.sh para ambos dominios. Se descubre un certificado wildcard *.ejemplo.com con SANs adicionales: api.ejemplo.com, panel.ejemplo.com.
Paso 3: WHOIS del dominio
El dominio ejemplo.com esta registrado con el email [email protected]. Registrado hace 45 dias (indicador de infraestructura reciente, comun en C2).
Paso 4: Reverse WHOIS
Buscar otros dominios del mismo registrante. Resultado: servicio-update.net y cloud-delivery.org, registrados la misma semana.
Paso 5: Expansion
Repetir passive DNS y CT para los nuevos dominios. Se descubren 3 IPs adicionales.
Resultado final: de 1 IP se mapearon 5 dominios, 4 IPs y 1 email de operador. Toda la infraestructura C2 del adversario queda documentada para bloqueo proactivo.
Comparativa Maltego vs SpiderFoot
| Caracteristica | Maltego | SpiderFoot |
|---|---|---|
| Tipo | Comercial (CE gratuita limitada) | Open source (HX es SaaS) |
| Interfaz | Grafo interactivo visual | Web UI con tablas y relaciones |
| Modulos/Transforms | 100+ (Transform Hub) | 200+ modulos incluidos |
| Pivoting | Manual, controlado por analista | Automatizado, todos los modulos |
| Visualizacion | Excelente (grafos dinamicos) | Basica (tablas, correlaciones) |
| API keys externas | Necesarias para transforms premium | Opcionales, muchos modulos gratis |
| Automatizacion | Limitada (Maltego Machines) | Nativa (CLI + API REST) |
| Colaboracion | Si (Maltego Server) | Limitada (exports) |
| Coste | CE: gratis, Pro: ~5.000 EUR/ano | OSS: gratis, HX: ~3.000 USD/ano |
| Mejor para | Analisis visual, presentaciones, pivoting dirigido | Recon masivo, integracion en pipelines, equipos CERT |
Cuando usar cada una
Maltego cuando necesitas analisis visual de relaciones complejas, presentar hallazgos a stakeholders con grafos claros, o hacer pivoting preciso y controlado.
SpiderFoot cuando necesitas recon automatizado de muchos targets, integrar resultados en pipelines de enriquecimiento, o ejecutar investigaciones recurrentes sin intervencion manual.
Combinacion ideal: SpiderFoot para recon inicial automatizado, exportar resultados relevantes, e importarlos en Maltego para analisis visual y pivoting manual avanzado.
Integracion con plataformas CTI
Ambas herramientas se integran con plataformas de gestion de inteligencia:
Con MISP: SpiderFoot puede exportar resultados como eventos MISP. Maltego tiene transforms para consultar instancias MISP.
Con OpenCTI: los IOCs descubiertos durante la investigacion se importan como observables en OpenCTI, creando relaciones automaticas con entidades existentes.
Con TheHive: los hallazgos de Maltego o SpiderFoot se documentan como observables en casos de TheHive, vinculandolos a incidentes activos.
Con MalwareIntel: los IOCs de infraestructura descubiertos alimentan los feeds internos, enriqueciendo el contexto de familias de malware con datos de infraestructura verificados.
Recursos
- Maltego Transform Hub (catalogo completo de integraciones)
- SpiderFoot GitHub (codigo fuente y documentacion)
- crt.sh (busqueda en Certificate Transparency logs)
- CIRCL Passive DNS (servicio gratuito de passive DNS)
- Farsight DNSDB (base de datos passive DNS comercial)
- SecurityTrails (DNS historico y subdominios)
- DomainTools (WHOIS historico y reverse WHOIS)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.