Генерация и проверка похожих доменных имён
Похожие и созвучные домены могут использоваться как в довольно безобидных целях – для сбора трафика, предназначенного другим сайтам, так и при фишинговых атаках, которые могут проводиться в серьёзных целях (взлом, корпоративный шпионаж и др.).
Независимо от ваших намерений – атака или защита бренда – вам помогут автоматизировать процесс генерации похожих доменных имён и проверки, зарегистрированы ли они, одни и те же программы.
Далее будет рассмотрена работа с программами URLCrazy и CATPHISH. Первая – довольно известный инструмент, с хорошим набором алгоритмом генерирования доменных имён; а вторая – относительно новый инструмент, которая, обладающий своими уникальными возможностями.
Инструкция по использованию URLCrazy
URLCrazy уже предустановлена в Kali Linux. Её особенности:
- Генерирует 15 типов вариантов доменов
- Знает более 8000 популярных опечаток
- Поддерживает неожиданные вариации, полученные перестановкой бит
- Поддержка нескольких раскладок клавиатуры (qwerty, azerty, qwertz, dvorak)
- Проверяет, является ли действительным вариант домена
- Тестирует, используется ли вариант домена
- Приблизительная популярность варианта домена (нужен Linux и интерпретатор Ruby) – судя по всему, эта функция больше не работает.
В работе программа довольно проста, запускается так:
urlcrazy [опции] домен
Имеются следующие опции:
-k, --keyboard=РАСКЛАДКА Варианты: qwerty, azerty, qwertz, dvorak (по умолчанию: qwerty) -r, --no-resolve Не преобразовывать DNS -i, --show-invalid Показать неверные доменные имена -f, --format=ТИП Вывод удобный для человека или CSV (по умолчанию: удобный для человека) -o, --output=ФАЙЛ Файл вывода
Например, для показа опечаток домена facebook.com и проверки, зарегистрированы ли они уже, достаточно выполнить:
urlcrazy facebook.com
Инструкция по использованию CATPHISH
У CATPHISH свой набор алгоритмов генерации похожих доменных имён. Главное, что стоит отметить, это поддержка Punycode. С помощью Punycode иногда можно добиться абсолютного сходства в написании доменного имени, либо довольно похоже, например, googlè.com ( xn--googl-8ra.com ):
В настоящее время поддерживаются следующие алгоритмы генерации доменных имён:
- единственное или множественное число
- дополнительные символы перед или после
- двойное расширение
- зазеркаливание
- омоглиф
- пропуск тире
- Punycode
По умолчанию программа отсутствует в Kali Linux, поэтому нужно начать с установки:
sudo gem update --system sudo gem install bundler sudo bundle install git clone https://github.com/ring0lab/catphish cd catphish/ ./catphish.rb -h
У программы имеются следующие опции:
-D, --Domain=<s> Целевой домен для анализа -t, --type=<s> Тип уровня доменов: (popular, country, generic) (по умолчанию: popular) -V, --Verbose Показать все домены, включая недоступные, including non-available ones -A, --All Использовать все возможные методы -M, --Mirrorization Использовать метод зазеркаливания. -s, --singular-or-pluralise Использовать метод единственного или множественного числа. -p, --prepend-or-append Использовать метод добавления до или после. -T, --Top-level-domains=<s+> Использовать указанный ( набор ) доменов первого уровня. -H, --Homoglyphs Использовать метод омоглифов. -d, --double-extensions Использовать метод двойного расширения. -a, --Dash-omission Использовать метод пропуска тире. -P, --Punycode Использовать метод punycode.
Пример запуска CATPHISH
Найти схожие по написанию домены (-D google.com), применяя все методы генерации имён (-A), выводя как доступные, так и недоступные (-V):
./catphish.rb -D google.com -A -V
Заключение
Созвучные и похожие по написанию доменные имена используются преимущественно в атаках, основанных на социальной инженерии.
Учитывая, что на похожее доменное имя вы можете получить валидный сертификат (как и на любой другой свой домен), фишинговый сайт можно сделать довольно правдоподобным и даже «безопасным» – это увеличит доверие при заманивании с помощью ссылок. Получив похожий домен, можно настроить почтовую – службу, для отправки сообщений сотрудникам будто бы от других сотрудников (сообщения также можно подписывать валидным сертификатом).
Связанные статьи:
- Как узнать имена хостов для большого количества IP адресов (77.1%)
- Инструкция по использованию HTTrack: создание зеркал сайтов, клонирование страницы входа (66.9%)
- Азы работы с веб-сервером для пентестера (66.9%)
- badKarma: Продвинутый набор инструментов для сетевой разведки (61.5%)
- Веб-архивы Интернета: как искать удалённую информацию и восстанавливать сайты (61.5%)
- Парсинг сайтов: азы, продвинутые техники, сложные случаи (RANDOM - 50.6%)