Sin duda una de las técnicas más usadas en ataques de Phishing y Smishing, es el Typosquatting, el cual se aprovecha de la capacidad del cerebro humano en hacer correcciones inmediatas de palabras mal escritas, o de palabras faltantes en un texto. Esta es una habilidad muy útil para la lectura rápida y para minimizar el consumo de energía por el cuerpo en el momento de leer, razón por la que la lectura es tan relajante. Sin embargo, esta capacidad puede también ser utilizada por los malos en nuestra contra.
Existen muchos tipos de modificaciones que se pueden hacer a una palabra para que pueda ser usada en un engaño, por lo que para detectarlos hemos creado TypoDectec, - que puedes usar en tu Kali Linux - una herramienta en la que se se codificaron todos los tipos conocidos para así poder generar la mayor cantidad de posibilidades. Para entender los métodos que ejecuta la herramienta hemos hecho esta tabla con el dominio elladodelmal.com
Una de las mutaciones que otras herramientas no toman muy en cuenta es el cambio de TLD (Top Levels Domains) o TLD Swap, pero esta mutación es muy importante si se tiene en cuenta que tomando solo los TLD de países son más de 500 y que con las nuevas normas de la IANA, cualquier palabra puede ser un TLD válido y no como al inicio de Internet que solo existían 6 TLD’s aprobados.
Figura 1: TypoDetect. Una herramienta para detectar dominios de tus enemigos
Existen muchos tipos de modificaciones que se pueden hacer a una palabra para que pueda ser usada en un engaño, por lo que para detectarlos hemos creado TypoDectec, - que puedes usar en tu Kali Linux - una herramienta en la que se se codificaron todos los tipos conocidos para así poder generar la mayor cantidad de posibilidades. Para entender los métodos que ejecuta la herramienta hemos hecho esta tabla con el dominio elladodelmal.com
Figura 2: Mutaciones de dominios creadas para elladodelmal.com
Una de las mutaciones que otras herramientas no toman muy en cuenta es el cambio de TLD (Top Levels Domains) o TLD Swap, pero esta mutación es muy importante si se tiene en cuenta que tomando solo los TLD de países son más de 500 y que con las nuevas normas de la IANA, cualquier palabra puede ser un TLD válido y no como al inicio de Internet que solo existían 6 TLD’s aprobados.
Con los cambios en la política de las IANA, casi diariamente aumenta el numero de TLD permitidos, así que la herramienta tienen esto en consideración para acceder a la publicación de la lista y actualizar las posibles mutaciones que se generen. Es así como del dominio elladodelmal.com se generan 689.921 mutaciones, las cuales como se ve de la imagen siguiente, se generan de los tipos de mutaciones antes mencionadas.
Una vez, el sistema tiene la lista de mutaciones inicia las pruebas de si el dominio esta o no activo, para lo cual usa DNS over HTTPS (DoH), esto debido a que además de darnos los valores tipo A y tipo MX del dominio, nos brinda la posibilidad de tener una valoración del nivel de seguridad del dominio según su calificación de filtrado. Así, usando el servidor de DoH de ElevenPaths, obtenemos la respuesta y según el contenido se crea un JSON con todos los datos de DNS y la valoración de seguridad, con esta estructura.
Figura 4: Ejecutando TypoDetect para crear mutaciones
Una vez, el sistema tiene la lista de mutaciones inicia las pruebas de si el dominio esta o no activo, para lo cual usa DNS over HTTPS (DoH), esto debido a que además de darnos los valores tipo A y tipo MX del dominio, nos brinda la posibilidad de tener una valoración del nivel de seguridad del dominio según su calificación de filtrado. Así, usando el servidor de DoH de ElevenPaths, obtenemos la respuesta y según el contenido se crea un JSON con todos los datos de DNS y la valoración de seguridad, con esta estructura.
Y para complementar la búsqueda se realizan las pruebas de que existen los dominios en la nueva red de DNS, denominada Blockchain-DNS, la cual se creo con la promesa de no poder rastrear los dominios que se usan al navegar, pero que desafortunadamente también a permitido el uso para actos maliciosos.
Cuando el proceso de validación termina, lo cual se puede tardar unas horas, la herramienta pone en pantalla los dominios detectados como maliciosos y los detectados en Blockchain-DNS, pero crea un archivo JSON o TXT, con las respuestas de todos los dominios detectados como activos.
Figura 6: Demo de utilización de TypoDetect
Cuando el proceso de validación termina, lo cual se puede tardar unas horas, la herramienta pone en pantalla los dominios detectados como maliciosos y los detectados en Blockchain-DNS, pero crea un archivo JSON o TXT, con las respuestas de todos los dominios detectados como activos.
Es así como esta herramienta Open Source, que está disponible en el GitHub de Telefonica en el repositorio de TypoDetect, le brinda una capacidad más de detección a los equipos de defensa y Threat Hunting en sus labores diarias, que pueden integrar en sus procesos.
No hay comentarios:
Publicar un comentario