DNSTwist - поиск доменов для фишинга
@webwareУтро, вечер, день - добрый. В этой статье мы познакомимся с утилитой для поиска доменов, которые могут стать орудием фишинга.
Для того чтоб поиск таких сайтов был прост, компания www.f-secure.com создала создала DNSTwist. Он создает имена доменов, схожих с теми что мы задаем, в последующем шаге - проверяет занятость домена, и дает возможность искать сходства в HTML-коде. Кроме того, он позволяет проверить, неправильно ли настроены почтовые серверы и разрешить перехват писем.
Количество генерируемых DNS-запросов возрастает от длины домена, и это соответственно занимает больше времени, поэтому расстояние Левенштейна не превышает 2.
Особености
- Широкий спектр алгоритмов разбивания доменов
- Имена доменов Unicode (IDN)
- Распределение многопоточных заданий
- Запросы записей A, YYYY, NS и MX
- Оценивает сходство веб-страницы с нечеткими хэшами для поиска фишинговых сайтов в реальном времени с использованием алгоритма ssdeep
- Проверьте, можно ли использовать хост MX (почтовый сервер) для перехвата неверно направленных писем
- Разрешить использование словаря
- Информация о местоположении с GeoIP
- WHOIS ищет дату создания и изменения
- Запись баннеров служб HTTP и SMTP
- Выход в формате CSV и JSON
Данный инструмент может быть установлен на Linux, OSX, и Docker.
Перед скачиванием мы должны установить предварительные условия, это можно сделать двумя способами. Рекомендуется первый, т.к. у вас не возникнет проблем с совместимостью с другими объектами:
sudo apt-get install python-dnspython python-geoip python-whois python-requests python-ssdeep python-cffi
sudo apt-get install libgeoip-dev libffi-dev BUILD_LIB=1 pip install -r requirements.txt
После этого идем туда куда для вас удобно, и скачиваем с гита
git clone https://github.com/elceef/dnstwist
После этого перемещаемся в папку с содержимым, (советую, также, ознакомиться с README.md если вы хотите установить на что-то другое, и не только), и запускаем:
dnstwist.py --registered example.com
Данная команда отображаются только зарегистрированные домены.
dnstwist.py --ssdeep example.com dnstwist.py --ssdeep example.com/crm/login
Для дальнейшего облегчения задачи DNSTwist позволяет вам искать активный phising с использованием алгоритма ssdeep.
Алгоритм ssdeep последовательно делит файл на равные группы байтов и вычисляет хэш на каждой из этих групп. Затем из них вычисляется новый хеш, который будет представлять общее количество файла. Для каждого созданного домена dnstwist получит содержимое HTTP-сервера, который отвечает (после возможных перенаправлений), и сравнит его диффузный хэш с исходным (начальным) доменом. Уровень сходства будет выражен в процентах. Обратите внимание, что вы вряд ли получите 100% соответствия для динамически созданной веб-страницы, но каждое уведомление должно быть тщательно проверено независимо от процентного уровня.
dnstwist.py --mxcheck example.com
Проверяет есть ли уязвимость серверов MX, для атак типа подмена получателя писем
dnstwist.py --dictionary словари / english.dict example.com
Если вы хотите использовать свой словарь, вместо алгоритмов DNSTwist
dnstwist.py --geoip example.com
Отображает географическое местоположения каждого адреса IPv4.
dnstwist.py --csv example.com> out.csv dnstwist.py --json example.com> out.json
Экспортировать результаты в формате CSV или JSON.
Спасибо за внимание, и до новых встреч.