domingo, mayo 16, 2021

TypoDetect: Una herramienta para detectar dominios de tus enemigos

Sin duda una de las técnicas más usadas en ataques de Phishing y Smishing, es el Typosquatting, el cual se aprovecha de la capacidad del cerebro humano en hacer correcciones inmediatas de palabras mal escritas, o de palabras faltantes en un texto. Esta es una habilidad muy útil para la lectura rápida y para minimizar el consumo de energía por el cuerpo en el momento de leer, razón por la que la lectura es tan relajante. Sin embargo, esta capacidad puede también ser utilizada por los malos en nuestra contra.

Figura 1: TypoDetect. Una herramienta para detectar dominios de tus enemigos

Existen muchos tipos de modificaciones que se pueden hacer a una palabra para que pueda ser usada en un engaño, por lo que para detectarlos hemos creado TypoDectec, - que puedes usar en tu Kali Linux - una herramienta en la que se se codificaron todos los tipos conocidos para así poder generar la mayor cantidad de posibilidades. Para entender los métodos que ejecuta la herramienta hemos hecho esta tabla con el dominio elladodelmal.com

Figura 2: Mutaciones de dominios creadas para elladodelmal.com

Una de las mutaciones que otras herramientas no toman muy en cuenta es el cambio de TLD (Top Levels Domains) o TLD Swap, pero esta mutación es muy importante si se tiene en cuenta que tomando solo los TLD de países son más de 500 y que con las nuevas normas de la IANA, cualquier palabra puede ser un TLD válido y no como al inicio de Internet que solo existían 6 TLD’s aprobados. 

Figura 3: Lista de TLDs actualizada. (imagen de ayer)

Con los cambios en la política de las IANA, casi diariamente aumenta el numero de TLD permitidos, así que la herramienta tienen esto en consideración para acceder a la publicación de la lista y actualizar las posibles mutaciones que se generen. Es así como del dominio elladodelmal.com se generan 689.921 mutaciones, las cuales como se ve de la imagen siguiente, se generan de los tipos de mutaciones antes mencionadas.

Figura 4: Ejecutando TypoDetect para crear mutaciones

Una vez, el sistema tiene la lista de mutaciones inicia las pruebas de si el dominio esta o no activo, para lo cual usa DNS over HTTPS (DoH), esto debido a que además de darnos los valores tipo A y tipo MX del dominio, nos brinda la posibilidad de tener una valoración del nivel de seguridad del dominio según su calificación de filtrado. Así, usando el servidor de DoH de ElevenPaths, obtenemos la respuesta y según el contenido se crea un JSON con todos los datos de DNS y la valoración de seguridad, con esta estructura.

Figura 5: JSON con resultado de dominios encontrados

Y para complementar la búsqueda se realizan las pruebas de que existen los dominios en la nueva red de DNS, denominada Blockchain-DNS, la cual se creo con la promesa de no poder rastrear los dominios que se usan al navegar, pero que desafortunadamente también a permitido el uso para actos maliciosos.

Figura 6: Demo de utilización de TypoDetect

Cuando el proceso de validación termina, lo cual se puede tardar unas horas, la herramienta pone en pantalla los dominios detectados como maliciosos y los detectados en Blockchain-DNS, pero crea un archivo JSON o TXT, con las respuestas de todos los dominios detectados como activos.
Es así como esta herramienta Open Source, que está disponible en el GitHub de Telefonica en el  repositorio de TypoDetect,  le brinda una capacidad más de detección a los equipos de defensa y Threat Hunting en sus labores diarias, que pueden integrar en sus procesos.

Saludos,

Autor: Diego Samuel Espitia Montenegro, CSA de ElevenPaths, Colombia

No hay comentarios:

Publicar un comentario