- Регистрация
- 23 Янв 2019
- Сообщения
- 1,396
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Dnstwis – поисковая утилита, работа которой основана на перестановках букв в названии доменов. Она способна обнаружить фишинговые домены и мошеннические веб-сайты с похожими доменными именами. Dnstwist получает заданное доменное имя, затем генерирует список потенциальных фишинговых доменов, а потом по сгенерированным доменным именам делаются запросы. Если обнаруженный домен перенаправляет запрос на веб-сервер, то Dnstwist запишет IP-адрес домена.
Как и большинство инструментов, предназначенных для тестирования на проникновение, Dnstwist – это палка о двух концах. Она может использоваться злоумышленниками для поиска идеальных доменов-кандидатов для проведения фишинговых атак, в ходе которых они могут клонировать целевой веб-сайт и заставить пользователей ввести свои учетные данные. Или же Dnstwist могут использовать специалисты по кибербезопасности и системные администраторы для того, чтобы быстро найти и определить похожие домены, созданные конкурентами и хакерами.
Dsntwist поддерживает широкий круг создания фишинговых доменных схем и их типов, которые он может использовать для создания огромных списков потенциальных фишинговых доменов. Прежде чем переходить к инструкции по генерации доменных имен, посмотрим на каждую такую схему.
1) Добавление
Буквы добавляются в конце исходного доменного имени.
2) Бит-сквоттинг
Bitsquatting относится к регистрации доменных имен, отличающихся от настоящего домена всего на 1 бит.
Определить подмену при беглом осмотре уже немного сложнее, чем в случае с «дополнением», потому что люди скорее не читают, а угадывают слова на основе первой и последней буквы, а не прочитывают каждую букву индивидуально.
3) Гомоглифы
Фишинг-атаки с использованием гомоглифов называются гомографическими атаками, хотя альтернативные символы называются гомоглифами, а не гомографами. Гомоглиф – одна из двух или больше графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром.
Например, русская «а» и английская «a» – гомоглифы. Эти типы атак по-прежнему затрагивают Firefox и большинство Android-устройств, а недавно они стали известны благодаря Xudong Zheng, который создал первый фишинговый гомоглиф-адрес для apple.com.
4) Пропуск
Определенные буквы просто удаляются из названия домена.
Возвращаясь к примеру бит-сквоттинга выше, наверняка кто-то может заметить, что первая или последняя буква в имени домена отсутствует, но заметить пропущенную букву в середине слова значительно сложнее.
5) Поддомен
Речь идет о точке, вставленной в разные позиции в конкретном доменном имени. Здесь речь идет только о том, что для создания эффективного фишингового домена достаточно создать убедительно выглядящий поддомен. Подобно «добавлению», этот способ может быть более очевиден пользователю, чем другие трюки.
Например, goo.gl – сервис сокращенных ссылок Google.
6) Подмена гласных
Гласные буквы в конкретном домене меняются на другие гласные.
При беглом взгляде многие из этих доменов, скорее всего, обманут большинство жертв и вынудят их кликнуть по поддельной ссылке. Опять же, это работает, поскольку большинство людей сканируют слова, используя первую и последнюю букву, а не прочитывают каждую букву в слове. Если заменяемая гласная будет на первом или последнем месте, то такой вариант, скорее всего не сработает.
Установка Dnstwist
У Dnstwist есть несколько зависимостей, которые можно установить в Kali Linux, введя команду в терминал:
apt-get install python-dnspython python-geoip python-whois python-requests python-ssdeep python-cffi
Теперь клонируйте репозиторий Dnstwist с GitHub:
git clone
И, наконец, используйте команду cd, чтобы перейти в только что созданный каталог «dnstwist», а затем используйте команду ниже, чтобы просмотреть доступные параметры:
cd dnstwist /
./dnstwist.py --help
Генерация фишинговых доменов с помощью Dnstwist
Чтобы начать генерацию фишинговых доменов с помощью Dnstwist, используйте команду ниже:
./dnstwist.py --ssdeep --json --threads 40 website.com> website.com.json
- ssdeep – указывает Dnstwist анализировать HTML-код каждого домена и сравнивать его с HTML-кодом реального веб-сайта. Уровень сходства будет выражаться в процентах. Однако каждый веб-сайт нужно проверять вручную независимо от процентного уровня, выданного Dnstwist. Эти проценты необходимы для того, чтобы помочь специалистам по безопасности определить, какие домены, скорее всего, являются фишинговыми доменами.
- Dnstwist поддерживает два выходных формата, которые могут использоваться с другими приложениями. Формат вывода json использовался в нашем примере выше, но также поддерживается вывод в CSV, который может быть включен с использованием аргумента csv вместо формата JSON. Чтобы сохранить любой формат в файл, можно использовать закрывающую угловую скобку и имя файла (> имя_файла), чтобы записать данные в указанный файл.
- По умолчанию Dnstwist будет делать 10 запросов при проверке доступных фишинговых доменов по своему списку. Это число можно увеличить или уменьшить, используя аргумент threads и указав нужное значение.
Заключение
Как для хакера, готовящегося к фишинговой атаке, так и для системного администратора, защищающегося от таких атак, Dnstwist – это фантастический инструмент, используемый для выявления жизнеспособных доменов, которые могут быть использованы в противоправных целях.
У Dnstwist несколько ключевых преимуществ по сравнению с аналогичными инструментами, такие как возможность анализа и сравнения HTML-кода потенциальных фишинговых-доменов, поддержка различных форматов вывода и широкий спектр генерируемых фишинговых доменов.
Если вы обычный пользователь, посещающий какой-нибудь веб-сайт, обращайте особое внимание на URL-адрес сайта, когда вы на него переходите. И хотя гомоглифы обнаружить трудно, остальные схемы заметить сравнительно легко, если вы потратите чуть больше времени, чтобы изучить их.