DNSTwist buscando dominios para phishing

“Al poseer un dominio y preocuparnos que puedan realizar ataques de phising en nuestro nombre o con la imagen corporativa, lo primero que hay que hacer es comprobar los dominios similares al nuestro.”

Esta tarea puede ser tediosa, hay que comprobar en diferentes webs, y pueden escapar los dominios con caracteres unicode, actualmente son una de las formas más originales de suplantar una web (artículo de referencia: Homografos Unicode en URL’s Y Cambio de Contraseñas ).

Para facilitar la tarea, la gente de www.f-secure.com han creado DNSTwist.


DNSTwist

DNSTwist genera nombres de dominio similares al que introducimos, luego comprueba si están registrados, y brinda la opción de buscar similitudes en el código HTML, hasheandolo y haciendo comparaciones.

Además, permite comprobar si los servidores de correo están mal configurados y permiten la intercepción de mails.

Junto con la longitud del dominio, el número de variantes generadas por los algoritmos aumenta considerablemente y por tanto el número de consultas DNS necesarias para verificarlas.

Por ejemplo, para comprobar todas las variantes de google.com, tendríamos que enviar más de 300k en consultas.

Para el dominio facebook.com el número aumenta a más de 5 millones.

Esto se traduce en una gran cantidad de recursos y tiempo.

Para los dominios más largos, comprobar todas las opciones no es viable.

Por esta razón, la herramienta genera y comprueba dominios muy cercanos al original (la distancia de Levenshtein no supera 2).

Teóricamente, éstos son los dominios más atractivos desde el punto de vista del atacante, sin embargo, hay que tener en cuenta que la imaginación de los agresores es ilimitada.

Características.

  • Amplia gama de algoritmos de fuzzing de dominio
  • Nombres de dominio Unicode (IDN)
  • Distribución de trabajos multiproceso
  • Consultas A, AAAA, NS y registros MX
  • Evalúa la similitud de la página web con fuzzy hashes para encontrar sitios de phishing en vivo mediante el algoritmo ssdeep
  • Prueba si el host MX (servidor de correo) se puede utilizar para interceptar correos electrónicos mal dirigidos
  • Permite el uso de diccionario
  • Información de ubicación con GeoIP
  • WHOIS búsquedas para la creación y la fecha de modificación
  • Graba banners de servicio HTTP y SMTP
  • Salida en formato CSV y JSON

Instalación.

Para obtener la herramienta lo realizamos desde el repositorio de GitHub.

La herramienta se puede instalar tanto en Linux, OSX y Docker.

Este tutorial mostraremos solo la instalación en sistemas Linux.
Tenemos que instalar los prerrequisitos, hay dos variantes.

Recomendamos la primera ya que no dará problemas de compatibilidad con otras instalaciones:

Argumentos

Underc0de - Argumentos DNSTwist

El uso más sencillo de la herramienta es lanzarla sin argumentos. Generará una lista de posibles dominios de phishing con los siguientes registros DNS: A, AAAA, NS y MX.

Normalmente tendremos una lista bastante amplia, comprobar si esos dominios están registrados uno a uno sería malgastar el tiempo, para ello tenemos la opción -registered.

Está opción nos muestran solo los dominios registrados.

Para facilitarnos la tarea, DNSTwist permite buscar phising activos mediante el algoritmo ssdeep.

  • El cual divide de forma secuencial un archivo en grupos iguales de bytes, sobre cada uno de estos grupos calcula un hash.
  • A partir de éstos calcula un nuevo hash que va a representar el total del archivo.
  • Precisamente sobre este hash puede comparar la similitud con otros archivos.

Para cada dominio generado, dnstwist obtendrá el contenido del servidor HTTP que responde (siguiendo los posibles redireccionamientos) y comparará su hash difuso con el del dominio original (inicial).

El nivel de similitud se expresará como porcentaje. Tener en cuenta que es poco probable que obtenga el 100% de coincidencia para una página web generada dinámicamente, cada notificación debe inspeccionarse cuidadosamente independientemente del nivel de porcentaje.

Frecuentemente los atacantes crean honeypots de correo electrónico en los dominios de phishing y esperan que los correos electrónicos mal escritos lleguen.

DNSTwist permite comprobar si los servidores MX pueden ser vulnerables a este tipo de ataques.

Si preferimos usar nuestro propio diccionario en vez de los algoritmos de DNSTwist, también nos permite.

La herramienta se integra con la base de datos GeoIP, con el argumento (–geoip) para mostrar la ubicación geográfica (nombre del país) para cada dirección IPv4.

Aparte de la salida en consola, podemos exportar los resultados en formato CSV o JSON.


Agradecemos a HATI por compartir el uso de la herramienta DNSTWist buscando dominios para phishing

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">