10 oct. 2016

DnsTwist: búsquedas de dominios para detectar errores tipográficos, phishing y espionaje corporativo

DnsTwist es una herramienta multiplataforma escrita Python, que permite ver qué dominios sospechosos se puede obtener al tratar de escribir un nombre de dominio. Encuentra dominios de aspecto similar que puedan ser utilizados para suplantar un dominio. Puede detectar errores tipográficos, ataques de phishing, fraude y espionaje corporativo.

La idea es bastante sencilla: dnstwist toma un nombre de dominio como una semilla, genera una lista de dominios potenciales de phishing y luego comprueba si están registrados. Además, puede comprobar registros MX de servidores de correo que se puedan utilizar para interceptar correos electrónicos con direcciones mal escritas y además puede generar hashes difusos de las páginas web para ver si son sitios de phishing.

Principales características de Dnstwist:
  • Amplia gama de eficientes algoritmos de fuzzing de dominios.
  • Permite trabajar con una distribución multiproceso.
  • Resuelve los nombres de dominio a IPv4 e Ipv6.
  • Soporta las consultas de NS y registros MX.
  • Evalúa páginas web con similitud de hashes difusos para encontrar sitios de phishing.
  • Permite analizar si el host MX (servidor de correo) se puede utilizar para interceptar mensajes de correo electrónico mal dirigidos (espionaje).
  • Genera variantes de dominio adicionales utilizando archivos de diccionario
  • Muestra información de la ubicación mediante la base de datos GeoIP.
  • Graba mensajes de servicio de HTTP y del servidor SMTP.
  • Permite operaciones de búsqueda WHOIS para la creación y modificación de la fecha.
  • Imprime las copias en formato CSV y JSON.

Modo de empleo

Para empezar, lo mejor es introducir sólo el nombre de dominio como argumento. La herramienta ejecutará sus algoritmos de fuzzing y generara una lista de dominios potenciales de phishing con los siguientes registros DNS: A, AAAA, NS y MX.
$dnstwist.py example.com 
Comprobar manualmente cada nombre de dominio para identificar un sitio de phishing podría llevar mucho tiempo. Para solucionar esto, dnstwist hace uso de las denominadas hashes difusos (desencadena hashes a trozos). Un hash difuso es un concepto que implica la capacidad de comparar dos entradas (en este caso el código HTML) y determinar un nivel fundamental la similitud entre ellos.

Por supuesto, todas las características ofrecidas por dnstwist junto con breves descripciones están siempre disponibles utilizando la ayuda y en su página de Github.

Fuente: Gurú de la Informática

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!