- Joined
- Aug 17, 2016
- Messages
- 1,784
- Reaction score
- 826
Утро, вечер, день - добрый. В этой статье мы познакомимся с утилитой для поиска доменов, которые могут стать орудием фишинга.
Для того чтоб поиск таких сайтов был прост, компания www.f-secure.com создала создала DNSTwist. Он создает имена доменов, схожих с теми что мы задаем, в последующем шаге - проверяет занятость домена, и дает возможность искать сходства в HTML-коде. Кроме того, он позволяет проверить, неправильно ли настроены почтовые серверы и разрешить перехват писем.
Количество генерируемых DNS-запросов возрастает от длины домена, и это соответственно занимает больше времени, поэтому расстояние Левенштейна не превышает 2.
Особености
Данный инструмент может быть установлен на Linux, OSX, и Docker.
Перед скачиванием мы должны установить предварительные условия, это можно сделать двумя способами. Рекомендуется первый, т.к. у вас не возникнет проблем с совместимостью с другими объектами:
После этого идем туда куда для вас удобно, и скачиваем с гита
После этого перемещаемся в папку с содержимым, (советую, также, ознакомиться с README.md если вы хотите установить на что-то другое, и не только), и запускаем:
Данная команда отображаются только зарегистрированные домены.
Для дальнейшего облегчения задачи DNSTwist позволяет вам искать активный phising с использованием алгоритма ssdeep.
Алгоритм ssdeep последовательно делит файл на равные группы байтов и вычисляет хэш на каждой из этих групп. Затем из них вычисляется новый хеш, который будет представлять общее количество файла. Для каждого созданного домена dnstwist получит содержимое HTTP-сервера, который отвечает (после возможных перенаправлений), и сравнит его диффузный хэш с исходным (начальным) доменом. Уровень сходства будет выражен в процентах. Обратите внимание, что вы вряд ли получите 100% соответствия для динамически созданной веб-страницы, но каждое уведомление должно быть тщательно проверено независимо от процентного уровня.
Проверяет есть ли уязвимость серверов MX, для атак типа подмена получателя писем
Если вы хотите использовать свой словарь, вместо алгоритмов DNSTwist
Отображает географическое местоположения каждого адреса IPv4.
Экспортировать результаты в формате CSV или JSON.
Спасибо за внимание, и до новых встреч.
Для того чтоб поиск таких сайтов был прост, компания www.f-secure.com создала создала DNSTwist. Он создает имена доменов, схожих с теми что мы задаем, в последующем шаге - проверяет занятость домена, и дает возможность искать сходства в HTML-коде. Кроме того, он позволяет проверить, неправильно ли настроены почтовые серверы и разрешить перехват писем.
Количество генерируемых DNS-запросов возрастает от длины домена, и это соответственно занимает больше времени, поэтому расстояние Левенштейна не превышает 2.
Особености
- Широкий спектр алгоритмов разбивания доменов
- Имена доменов Unicode (IDN)
- Распределение многопоточных заданий
- Запросы записей A, YYYY, NS и MX
- Оценивает сходство веб-страницы с нечеткими хэшами для поиска фишинговых сайтов в реальном времени с использованием алгоритма ssdeep
- Проверьте, можно ли использовать хост MX (почтовый сервер) для перехвата неверно направленных писем
- Разрешить использование словаря
- Информация о местоположении с GeoIP
- WHOIS ищет дату создания и изменения
- Запись баннеров служб HTTP и SMTP
- Выход в формате CSV и JSON
Данный инструмент может быть установлен на Linux, OSX, и Docker.
Перед скачиванием мы должны установить предварительные условия, это можно сделать двумя способами. Рекомендуется первый, т.к. у вас не возникнет проблем с совместимостью с другими объектами:
Code:
sudo apt-get install python-dnspython python-geoip python-whois python-requests python-ssdeep python-cffi
Code:
sudo apt-get install libgeoip-dev libffi-dev
BUILD_LIB=1 pip install -r requirements.txtПосле этого идем туда куда для вас удобно, и скачиваем с гита
Code:
git clone https://github.com/elceef/dnstwistПосле этого перемещаемся в папку с содержимым, (советую, также, ознакомиться с README.md если вы хотите установить на что-то другое, и не только), и запускаем:
Code:
dnstwist.py --registered example.comДанная команда отображаются только зарегистрированные домены.
Code:
dnstwist.py --ssdeep example.com
dnstwist.py --ssdeep example.com/crm/loginДля дальнейшего облегчения задачи DNSTwist позволяет вам искать активный phising с использованием алгоритма ssdeep.
Алгоритм ssdeep последовательно делит файл на равные группы байтов и вычисляет хэш на каждой из этих групп. Затем из них вычисляется новый хеш, который будет представлять общее количество файла. Для каждого созданного домена dnstwist получит содержимое HTTP-сервера, который отвечает (после возможных перенаправлений), и сравнит его диффузный хэш с исходным (начальным) доменом. Уровень сходства будет выражен в процентах. Обратите внимание, что вы вряд ли получите 100% соответствия для динамически созданной веб-страницы, но каждое уведомление должно быть тщательно проверено независимо от процентного уровня.
Code:
dnstwist.py --mxcheck example.com
Code:
dnstwist.py --dictionary словари / english.dict example.comЕсли вы хотите использовать свой словарь, вместо алгоритмов DNSTwist
Code:
dnstwist.py --geoip example.comОтображает географическое местоположения каждого адреса IPv4.
Code:
dnstwist.py --csv example.com> out.csv
dnstwist.py --json example.com> out.jsonЭкспортировать результаты в формате CSV или JSON.
Спасибо за внимание, и до новых встреч.