Análise de ameaças com AbuseIPDB, VirusTotal e IPinfo Ferramentas essências para Threat Intelligence

Por Iago Felipe - 17 de dezembro de 2025.

No cenário atual, em que ataques cibernéticos evoluem a cada dia, compreender e analisar indicadores de comprometimento/ameaça deixou de ser um diferencial e se tornou uma necessidade. Seja para identificar um IP malicioso, investigar um hash suspeito ou entender o comportamento de uma suposta infraestrutura de ataque contar com boas fontes de informação é fundamental.

Pensando nisso, trago três ferramentas amplamente utilizadas no mercado - AbuseIPDB, VirusTotal e IPinfo - que vão enriquecer suas análises de Threat Intelligence. Se você está começando na área ou busca aprimorar sua investigação de IOCs, este artigo vai ajudar a entender por que essas plataformas são essenciais e como elas podem trazer contexto, precisão e velocidade para suas análises.

O que é Threat Inteligence?

É o processo de coleta, análise e uso de informações sobre ameaças cibernéticas.

O objetivo é antecipar, detectar, responder e mitigar ataques com base em dados confiáveis.

Exemplos de dados utilizados incluem IPs maliciosos, URLs de phishing, hashes de arquivos mnaliciosos e infraestrutura de comando e controle (C2).

O que é e por que enriquecer IOCs?

Enriquecer um IOC (Indicador de comprometimento) significa obter mais informações sobre ele, como reputação, origem geográfica, histórico de comportamento e relação com outras ameaças. Isso ajuda a evitar falsos positivos e fornece contexto para análises forenses e resposta a incidentes.

Então, falaremos de 3 sites que focam exatamente nestes IOCs.

ABUSEIPDB

O abuseIP é uma ferramenta focada em reputação de IPs.

Permite verificar se um IP foi denunciado por atividades como bruteforce, port scanning ou tentativas de hacking.

A base é colaborativa, alimentada por usuários e sistemas de segurança, ou seja, você também pode fornecer dados para ajudar outras pessoas a identificar um IP malicioso.

Algumas das informações disponíveis incluem ISP, tipo de uso, ASN, domínio, país e cidade de origem.

Com o recurso de BULK REPORT, é possível analisar vários IPs simultaneamente, ideal para incidentes de DDoS.

Porém existe uma limitação na versão gratuita, que é o limite de bulk report de 1.000 IPs por dia, 100 prefixos e acesso a uma blacklist básica de 10.000 Ips.

A versão paga oferece até 50.000 (cinquenta mil) verificações diárias, suporte a intervalos de IP e blacklist personalizável.

VirusTotal

O VirusTotal é uma plataforma que analisa e fornece reputação de arquivos, domínios, IPs, URLs e Hashs.

Utiliza dezenas de motores de antivírus e de threat intelligence, como Kaspersky, BitDefender e CrowdStrike.

As funcionalidades dele incluem detecção de malware, análise de phishing, histórico de envios, relações entre IOCs (Via VT Graph) e comportamento em Sandbox.

O VirusTotal também permite visualizar metadados, como hashes, tipo de arquivos, tamanho e data que apareceu pela primeira e última vez, tudo isto na versão free.

Na versão paga, além de tudo isto, ainda é incluso VT Inteligence, VT Hunting e VT Graph, que oferecem análises mais profundas e visuais sobre ameaças.

IPINFO

O IPinfo é uma plataforma voltada para a obtenção de informações técnicas sobre IPs.

Oferece dados como geolocalização, ASN, tipo de IP, detecção de proxies, VPNs e domínios hospedados.

Possui APIs e bancos de dados para integração com SIEMs e SOARs, além de ferramentas como WHOIS e identificação de provedores móveis.

A versão gratuita oferece consulta ilimitadas, mas com informações reduzidas.

As versões pagas fornecem dados detalhados sobre localização, ASN e relatórios de abuso.

O uso combinado de AbuseIP, VirusTotal e IPinfo oferece uma visão abrangente sobre ameaças e IOCs.

Essas ferramentas se complementam e são essenciais para analistas de segurança e profissionais de Threat Inteligence que buscam maior precisão e contexto nas suas investigações.