marzo 29, 2024

Comprobar la reputación de dominios caducados y el historial de archive.org para determinar buenos candidatos para phishing y nombres de dominio C2.

0
Voiced by Amazon Polly
Comparte en redes sociales

La selección de nombres de dominio es un aspecto importante de la preparación para escenarios de phishing, pruebas de penetración y, especialmente, compromisos con el Red Team. Cada vez es más común enfrentarse al filtrado web en una red basada en la reputación y categorización del dominio. A menudo, el tráfico a dominios muy nuevos y no categorizados está completamente bloqueado por dichos dispositivos, lo que detiene su carga de phishing o agente C2. Últimamente se ha hablado mucho sobre los redireccionadores de frontales de dominio y alta confianza, en la comunidad de seguridad para tratar este mismo problema, pero esa es una capa adicional de configuración y complejidad que probablemente no sea necesaria para cada compromiso. Vea MDSec – Dominio al frente a través de dominios alternativos de Cloudfront y el blog de Raphael Mudge para obtener más información sobre esas técnicas.

Los dominios que alguna vez se usaron para fines benignos y que ya se clasificaron adecuadamente a menudo caducan o se eliminan, pero se pueden comprar nuevamente por solo unos pocos euros. Dichos dominios permiten que un equipo evite los filtros web basados ​​en reputación y las restricciones de salida de red para phishing y tareas relacionadas con C2. La web expiredDomains.net: el motor de búsqueda de nombres de dominio vencidos. Este es un gran recurso para los pentesters y los Red Team que buscan dominios disponibles cuando no quieren o tienen el lujo de tiempo para desarrollar un catálogo de dominios, mantener servidores web y crear «legítimos contenido «para una categorización adecuada, solo para verlos rápidamente quemados en una operación. Ciertamente hay un caso para mantener algunos dominios a lo largo del tiempo, pero de nuevo probablemente no quieras usarlos para compromisos rápidos de una o dos semanas.

Para eso fue creado DomainHunter, un pequeño script que aprovecha los listados de Expireddomains.net y los cruza con fuentes de reputación conocidas para generar una lista de dominios potenciales. para próximos compromisos. Mr-Un1k0d3r creó CatMyFish que también aprovecha la lista Expireddomains.net y merece la pena echarle un vistazo. DomainHunter se escribió para consultar rápidamente el motor de búsqueda expireddomains.net en busca de dominios caducados/eliminados y eliminar automáticamente cualquiera de los informes de malwaredomains.com. Luego, opcionalmente, consulta la reputación del dominio contra servicios como Blue Coat WebPulse Site Review.

La mayoría de los servicios de reputación de dominio, como Blue Coat, emplean protecciones CAPTCHA que deben evitarse al ralentizar las solicitudes con script, por lo tanto, si se ejecutan sobre conjuntos de consultas grandes, recomendamos ejecutarlos como trabajo programado cron y recibir periódicamente nuevas opciones por correo electrónico. Además, después de unas 150 solicitudes a Blue Coat, comenzará a recibir el captcha incluso con el tiempo intencionalmente lento programado en DomainHunter.

Caracteristica pricipales de DomainHunter:

  • Recupere la cantidad especificada de dominios recientemente caducados y eliminados (.com, .net, .org) de ExpiredDomains.net.
  • Recupere dominios disponibles basados ​​en la búsqueda de palabras clave de ExpiredDomains.net.
  • Realice comprobaciones de reputación con los servicios Symantec WebPulse Site Review (BlueCoat), IBM x-Force, Cisco Talos, Google SafeBrowsing y PhishTank.
  • Ordenar los resultados por antigüedad del dominio (si se conoce) y filtrar por reputación.
  • Tabla de texto y salida de informes HTML con enlaces a fuentes de reputación y entrada de Archive.org.

Más información y descarga de DomainHunter:

https://github.com/threatexpress/domainhunter

Deja un comentario