Генерация и проверка похожих доменных имён

Похожие и созвучные домены могут использоваться как в довольно безобидных целях – для сбора трафика, предназначенного другим сайтам, так и при фишинговых атаках, которые могут проводиться в серьёзных целях (взлом, корпоративный шпионаж и др.).

Независимо от ваших намерений – атака или защита бренда – вам помогут автоматизировать процесс генерации похожих доменных имён и проверки, зарегистрированы ли они, одни и те же программы.

Далее будет рассмотрена работа с программами URLCrazy и CATPHISH. Первая – довольно известный инструмент, с хорошим набором алгоритмом генерирования доменных имён; а вторая – относительно новый инструмент, которая, обладающий своими уникальными возможностями.

Инструкция по использованию URLCrazy

URLCrazy уже предустановлена в Kali Linux. Её особенности:

• Генерирует 15 типов вариантов доменов
• Знает более 8000 популярных опечаток
• Поддерживает неожиданные вариации, полученные перестановкой бит
• Поддержка нескольких раскладок клавиатуры (qwerty, azerty, qwertz, dvorak)
• Проверяет, является ли действительным вариант домена
• Тестирует, используется ли вариант домена
• Приблизительная популярность варианта домена (нужен Linux и интерпретатор Ruby) – судя по всему, эта функция больше не работает.

В работе программа довольно проста, запускается так:

urlcrazy [опции] домен

Имеются следующие опции:

 -k, --keyboard=РАСКЛАДКА   Варианты: qwerty, azerty, qwertz, dvorak (по умолчанию: qwerty)
 -r, --no-resolve   Не преобразовывать DNS
 -i, --show-invalid Показать неверные доменные имена
 -f, --format=ТИП   Вывод удобный для человека или CSV (по умолчанию: удобный для человека)
 -o, --output=ФАЙЛ  Файл вывода

Например, для показа опечаток домена facebook.com и проверки, зарегистрированы ли они уже, достаточно выполнить:

urlcrazy facebook.com

Инструкция по использованию CATPHISH

У CATPHISH свой набор алгоритмов генерации похожих доменных имён. Главное, что стоит отметить, это поддержка Punycode. С помощью Punycode иногда можно добиться абсолютного сходства в написании доменного имени, либо довольно похоже, например, googlè.com ( xn--googl-8ra.com ):

В настоящее время поддерживаются следующие алгоритмы генерации доменных имён:

• единственное или множественное число
• дополнительные символы перед или после
• двойное расширение
• зазеркаливание
• омоглиф
• пропуск тире
• Punycode

По умолчанию программа отсутствует в Kali Linux, поэтому нужно начать с установки:

sudo gem update --system
sudo gem install bundler
sudo bundle install
git clone https://github.com/ring0lab/catphish
cd catphish/
./catphish.rb -h

У программы имеются следующие опции:

-D, --Domain=<s>                           Целевой домен для анализа
-t, --type=<s>                             Тип уровня доменов: (popular, country, generic) (по умолчанию: popular)
-V, --Verbose                              Показать все домены, включая недоступные, including non-available ones
-A, --All                                  Использовать все возможные методы
-M, --Mirrorization                        Использовать метод зазеркаливания.
-s, --singular-or-pluralise                Использовать метод единственного или множественного числа.
-p, --prepend-or-append                    Использовать метод добавления до или после.
-T, --Top-level-domains=<s+>               Использовать указанный ( набор ) доменов первого уровня.
-H, --Homoglyphs                           Использовать метод омоглифов.
-d, --double-extensions                    Использовать метод двойного расширения.
-a, --Dash-omission                        Использовать метод пропуска тире.
-P, --Punycode                             Использовать метод punycode.

Пример запуска CATPHISH

Найти схожие по написанию домены (-D google.com), применяя все методы генерации имён (-A), выводя как доступные, так и недоступные (-V):

./catphish.rb -D google.com -A -V

Заключение

Созвучные и похожие по написанию доменные имена используются преимущественно в атаках, основанных на социальной инженерии.

Учитывая, что на похожее доменное имя вы можете получить валидный сертификат (как и на любой другой свой домен), фишинговый сайт можно сделать довольно правдоподобным и даже «безопасным» – это увеличит доверие при заманивании с помощью ссылок. Получив похожий домен, можно настроить почтовую – службу, для отправки сообщений сотрудникам будто бы от других сотрудников (сообщения также можно подписывать валидным сертификатом).