SELKS: Conoce esta distribución Linux con el sistema de detección y prevención de intrusiones Suricata

Resultado de imagen de suricata selksEn la red perimetral de cualquier empresa es fundamental incorporar un sistema de detección y prevención de intrusiones, un software que nos permitirá ver patrones y detectar ataques para informarnos puntualmente de todo lo que ocurra. Suricata es uno de los mejores en realizar esta tarea, y ahora tenemos aún más fácil desplegarlo en nuestra empresa gracias a SELKS.

Principales características del sistema SELKS

SELKS es un sistema operativo libre y de código abierto basado en Debian, pero modificado específicamente para usarlo como un potente sistema de detección de intrusiones (IDS) y prevención de intrusiones (IPS). Este sistema operativo utiliza un escritorio LXDE, y está disponible tanto en formato Live CD como también en una image ISO instalable.

Una vez que lo hayamos instalado en nuestro sistema, tendremos todo lo necesario instalado para tener toda la red perimetral bajo control, ya que incorpora el siguiente software:

  • Suricata: El popular software de detección y prevención de intrusiones.
  • Elasticsearch: Es un motor de búsqueda que nos va a permitir analizar en detalle todos los logs y almacenar la información.
  • Logstash: es un software que nos permitirá centralizar y transformar todos los logs fácilmente.
  • Kibana: nos va a permitir visualizar todos los datos con una interfaz gráfica bonita e intuitiva.
  • Scirius: Es una aplicación web para la gestión de reglas en Suricata, de esta manera nos facilitará enormemente la administración.

Por último, a partir de la versión 3.0RC1 tenemos también disponible EveBox, un software que sirve para enviarnos alertas vía web para la gestión de todos los eventos que Suricata sea capaz generar, ideal para localizar fácilmente todos los intentos de intrusión en nuestros sistemas.

La distribución SELKS incorpora todo este software ya instalado y con todas las dependencias de software instaladas, por lo que simplemente tendremos que instalarlo y empezar a trabajar con Suricata y todo el software alrededor de él para la gestión de avisos, logs y visualización de posibles incidencias.

Requisitos mínimos de SELKS

Aunque este sistema operativo no consume grandes recursos, para obtener un rendimiento óptimo de SELKS es necesario tener en cuenta las siguientes consideraciones:

  • Si descargamos la versión sin interfaz gráfica: mínimo un núcleo y 2GB de memoria RAM.
  • Si descargamos la versión con interfaz gráfica: mínimo dos núcleos y 4GB de memoria RAM.

Debemos tener en cuenta que cuantos más núcleos y memoria RAM tengamos disponibles, más tráfico podremos monitorizar. El equipo de desarrollo ha creado esta página en GitHub con recomendaciones para el uso de SELKS en producción.

Descarga de SELKS 3.0: directa vía HTTP o vía BitTorrent

La descarga de la distribución SELKS 3.0 puedes hacerla directamente desde la página web oficial del proyecto. Tendremos descarga a través de BitTorrent y también a través de descarga directa.

Los credenciales por defecto de esta distribución son usuario “selks-user” y contraseña “selks-user”, la clave de root es “StamusNetworks”. Os recomendamos visitar la página de SELKS en GitHub donde encontraréis todo el código fuente, recomendaciones para su uso en producción y también enlaces a todo el software que viene preinstalado.

Fuente: redeszone.net

Anuncios

Secure Shell para Google Chrome se actualiza: Descubre uno de los mejores clientes SSH

Secure Shell es una extensión para el navegador web Google Chrome que nos va a permitir realizar conexiones SSH con servidores, routers, switches y cualquier dispositivo que tenga un servidor SSH. Esta extensión es una de las mejores ya que tenemos una gran cantidad de opciones, recientemente se ha actualizado con mejoras en las políticas de seguridad.

Principales características de Secure Shell para Google Chrome

Secure Shell es un cliente SSH gratuito y de código abierto para el popular navegador web Google Chrome. Gracias a esta extensión, no tendremos que utilizar programas externos como PuTTY o KiTTY para conectarnos a nuestros servidores, sino que lo podremos hacer fácilmente desde nuestro navegador web. Este cliente SSH permite la conexión a través de usuario y contraseña, y también con claves privadas con RSA 2048 bits como mínimo, ya que por seguridad no se permiten claves de 1024 bits.

En los últimos meses el equipo de desarrollo de Secure Shell ha lanzado varias actualizaciones con nuevas mejoras, tanto en el funcionamiento como en la velocidad de la propia extensión. Además, se ha estado trabajando en el cliente SFTP para subir y descargar archivos utilizando este protocolo, por lo que si tienes Chrome 57 o superior podrás utilizarlo fácilmente para el intercambio de archivos. Otras mejoras realizadas en Secure Shell es la implementación de OpenSSH 7.5p1 con nuevos algoritmos de firma como ECDSA/ED25519 y se han retirado cifrados y algoritmos de intercambio de claves antiguos y que son inseguros. También se ha añadido compatibilidad con direcciones IPv6 con la sintaxis típica de ssh://[IPV6]

Os recomendamos leer todo el listado de cambios donde encontraréis en detalle qué mejoras se han realizado y en qué versiones están disponibles dichas mejoras.

Cómo instalar y utilizar Secure Shell en Google Chrome

Lo primero que tenemos que instalar Secure Shell en Google Chrome es irnos directamente a la Chrome web Store, y a continuación instalarlo en nuestro navegador. Una vez instalado nos aparecerá en el listado de aplicaciones instaladas en el navegador, tal y como podéis ver a continuación:

Una vez instalada, podemos hacer click en el icono de Secure Shell y nos abrirá automáticamente la extensión para conectarnos directamente a un servidor SSH. La interfaz gráfica de usuario es muy básica y con colores negros y blancos:

A la hora de conectarnos deberemos introducir la IP privada o pública del servidor SSH, su puerto, y también el usuario y contraseña si es que tenemos configurado el servidor SSH de esta manera, de lo contrario tendremos que importar las claves criptográficas (pública y privada) para iniciar la conexión.

En nuestro caso, hemos utilizado usuario y contraseña para iniciar la sesión, en caso de introducirla mal la extensión nos permitirá elegir otra conexión, intentar reconectarnos para introducir otra clave, o salir de la extensión (si esta extensión es la única que tenemos abierta en pestaña directamente Google Chrome se cerrará.

Si pinchamos en la sección de “Options” accederemos directamente a todas las opciones de configuración disponibles en la extensión. Podremos modificar el estilo gráfico (fuentes, colores, imágenes, color de fondo etc.), cómo realizar el copy paste, el codificado, la configuración del teclado, el scroll y los sonidos.

Algo que nos ha gustado mucho es que si ponemos en la barra de direcciones “SSH” y pulsamos tabulador, accederemos directamente al programa si pulsamos Enter e incluso podremos conectarnos directamente si ponemos la siguiente sintaxis: user@host:puerto por lo que es ideal para realizar conexiones rápidas.

Fuente: redeszone.net

Conoce la herramienta Trisul para detectar túneles SSH en tu red local o empresarial

Resultado de imagen de sshCuando necesitamos administrar de manera remota un servidor, un router o un switch, normalmente podemos hacerlo a través del protocolo SSH de manera segura. Este protocolo no solo nos permite enviar comandos al host remoto, sino también transferir archivos a través de otros protocolos como SCP y SFTP. Otra característica interesante es la posibilidad de realizar túneles SSH, o también conocidos como SSH Tunneling.

¿Qué son los túneles SSH y para qué nos pueden servir?

Los túneles SSH nos va a permitir acceder de manera remota a una red, y podremos actuar como si estuviéramos realmente allí presentes. Estos túneles SSH son válidos tanto para entrar en nuestra red doméstica como también la red de la empresa (si tenemos un servidor SSH). Gracias al SSH Tunneling podremos redirigir todo nuestro tráfico al otro lado del túnel para que toda la información viaje completamente cifrada, ideal por si por ejemplo nos conectamos a redes Wi-Fi públicas.

Estos túneles SSH nos va a permitir atravesar cortafuegos y también NAT, ya que únicamente tendremos que redirigir el puerto de escucha de dicho servidor en el firewall. SSHv2 además tiene soporte SOCKS5, por lo que podremos configurar muy fácilmente un servidor Proxy completo y que todo el tráfico viaje totalmente cifrado, ideal para conectarnos a redes Wi-Fi públicas de manera segura.

En las empresas normalmente siempre tenemos sistemas de detección y prevención de intrusiones, software que analiza todo el tráfico de red y detecta si hay actividad inusual en función de unas reglas preestablecidas o definidas por nosotros mismos. Algunos software ampliamente conocidos son Suricata, Snort y BroIDS, sin embargo, estos IDS/IPS no son capaces de detectar un túnel SSH ya que todo el tráfico va totalmente cifrado.

Las conexiones SSH crean un flujo único de datos, por lo que a ojos de herramientas de detección de tráfico no se sabe si se está usando dicho SSH para subir/descargar archivos vía SCP/SFTP o realmente estamos realizando un túnel SSH.

Trisul: Detectando túneles SSH

La herramienta de pago Trisul va a permitir a los administradores de redes y sistemas de cualquier organización detectar estos túneles SSH. Este software nos va a permitir estudiar el flujo de datos a través del SSH de manera continua, en concreto, va a comprobar el volumen de datos tanto de descarga como de subida, la duración de la conexión, el puerto de origen de dichas conexiones SSH y también sus direcciones IP. Lo primero que deberemos hacer con esta herramienta es crear un perfil estadístico y un flujo para indicar la línea base en el que se supone que estamos realizando un tráfico SSH para gestionar y administrar, o para subir y descargar archivos, y no túneles SSH, de esta manera podremos “entrenar” a esta herramienta para detectarlo.

Podéis visitar la web oficial de Trisul donde tenéis un completo artículo de cómo es capaz detectar túneles SSH y realizar análisis de tráfico. Tal y como hemos comentado anteriormente, esta herramienta es de pago, de hecho, no es nada barata ya que su uso es principalmente empresarial. Los sistemas operativos compatibles son Ubuntu 16.04, Ubuntu 14.04, CentOS y RHEL 7.X, aunque es muy probable que la familia Debian también sea compatible.

¿Conocéis otra herramienta que sea capaz de detectar túneles SSH en función del flujo de tráfico?

Os recomendamos visitar nuestro manual de cómo realizar SSH Tunneling en vuestro hogar para tener acceso a todos los recursos sin necesidad de montar un servidor VPN.

Fuente: Trisul.org

 

Wifiphisher v1.3 ya disponible: Conoce una de las mejores herramientas de auditorías Wi-Fi

Wifiphisher es una herramienta para realizar auditorías inalámbricas Wi-Fi que lleva varios años con nosotros, sin embargo, recientemente se ha actualizado incorporando nuevas funcionalidades muy interesantes y actualizando su base de datos de “phishing”, ideal para que este phishing sea más creíble y la víctima “pique” para proporcionarnos su clave inalámbrica.

Características de la herramienta Wifiphisher

Wifiphisher no realiza ningún tipo de ataque de diccionario o por fuerza bruta, utiliza el eslabón más débil que es el usuario, por lo que es un ataque de ingeniería social. Esta herramienta también es capaz de conseguir credenciales de las redes sociales más conocidas, aunque está diseñada específicamente para la obtención de claves WPA y WPA2-PSK.

La herramienta Wifiphisher está diseñada específicamente para realizar ataques de desautenticación a los clientes inalámbricos Wi-Fi que estén conectados a una red en concreto, una vez realizado este ataque, dichos clientes Wi-Fi se conectarán automáticamente a un punto de acceso falso que nosotros mismos hemos montado. Una vez que se haya conectado, redirigiremos al cliente a diferentes sitios web de phishing creados localmente para que “pique” y nos proporcione la contraseña inalámbrica Wi-Fi. En la siguiente imagen podéis ver cómo trabaja esta herramienta totalmente gratuita:

Requisitos para poder utilizar Wifiphisher:

  • Kali Linux. Aunque otras distribuciones también serían compatibles con esta herramienta, es recomendable utilizar siempre Kali Linux debido a que ha sido desarrollada oficialmente para esta distro, y todas las nuevas características se prueban en este sistema operativo.
  • Un adaptador Wi-Fi que soporte el modo punto de acceso, los drivers deben soportar netlink.
  • Un adaptador Wi-Fi que soporte modo monitor y también inyección de paquetes. Sus drivers también deben soportar netlink.

En caso de no tener dos tarjetas Wi-Fi, deberemos desactivar la opción del ataque de desautenticación ejecutando la herramienta con el flag “–nojamming”.

Instalación y ejecución de la herramienta

Esta herramienta se puede instalar descargando el código fuente de las versiones “stable”, en el GitHub oficial del proyecto están disponibles las últimas versiones. También podemos descargar la última versión beta del repositorio oficial en GitHub poniendo los siguientes comandos a través de consola:

2 cdwifiphisher
3 sudo python setup.py install

Una vez que la hayamos descargado e instalado, tendremos que ejecutarla ya sea poniendo en consola “wifiphisher” o “python /bin/wifiphisher“. Si a la herramienta no le pasamos ninguna opción, nos saldrá un pequeño asistente de configuración donde de manera interactiva configuraremos los diferentes parámetros, como por ejemplo seleccionar un SSID de la red Wi-Fi falsa, la interfaz física de la tarjeta Wi-Fi y también qué ataque de phishing queremos lanzar.

Un claro ejemplo de ataque de phishing es por ejemplo la actualización de firmware, donde nos saldrá un menú parecido al de routers ASUS donde “tendremos” que meter la clave para actualizar el firmware. También tenemos la posibilidad de lanzar el “Plugin Update” donde para actualizar un plugin en el navegador deberemos introducir la contraseña. Otras opciones disponibles es por ejemplo Wi-Fi Connect donde nos saldrá un menú parecido al de Windows 10 y nos informará de que tenemos que introducir la contraseña nuevamente.

Os recomendamos visitar la página web oficial de Wifiphisher donde encontrarás toda la información y también ejemplos de cómo lanzar esta herramienta.

Fuente: github.com

 

 

Los NAS Synology y otros sistemas afectados por una grave vulnerabilidad en SAMBA

Resultado de imagen de synologyHace menos de dos semanas pudimos ver cómo WannaCry se aprovechaba de una vulnerabilidad en las primeras versiones del protocolo SMB de Microsoft para infectar todo tipo de ordenadores de forma masiva. Aunque ya está todo controlado, esta no ha sido la primera vulnerabilidad, ni probablemente será la última, que afecta a este protocolo, y es que hace varias horas se empezaba a hacer eco de una vulnerabilidad similar que afecta a todas las versiones de SAMBA modernas, desde la 3.5 en adelante, siendo los NAS Synology unos de los primeros en demostrarse la vulnerabilidad.

Como hemos dicho, varios expertos de seguridad han encontrado una nueva vulnerabilidad, registrada con el nombre “CVE-2017-7494” en este protocolo para compartir datos a través de Internet. Esta nueva vulnerabilidad permite ejecutar código en los sistemas afectados desde un directorio compartido con permisos de escritura en él.

Este fallo de seguridad puede permitir a un atacante subir una librería maliciosa a un servidor (de ahí los permisos de escritura) y, después, hacer que el servidor ejecute dicha librería en la memoria.

Esta nueva vulnerabilidad afecta a todas las versiones de SAMBA desde la 3.5.0 en adelante y, tal como nos explican varios expertos de seguridad, ya existe un exploit que se aprovecha de ella y han demostrado que puede ser fácilmente explotada en los NAS Synology (con DSM 6.1.1-15101 Update 2 y Update 3), además de en otros sistemas como Ubuntu.

Vulnerabilidad SAMBA en NAS Synology

Cómo protegernos de esta vulnerabilidad en SAMBA

Como ya hemos explicado, la única forma de poder explotar esta vulnerabilidad es que la carpeta compartida del servidor remoto tenga habilitados los permisos de escritura. De ser así, si alguien sube el archivo malicioso y explota la vulnerabilidad podrá aprovecharse del fallo. Por ello, si no configuramos ninguna carpeta compartida a través de SMB con permisos de escritura o desactivamos por completo el uso de este protocolo, no tendremos de qué preocuparnos.

Esta vulnerabilidad se soluciona en las versiones 4.6.4, 4.5.10 y 4.4.14 de SAMBA, versiones ya disponibles que si, por ejemplo, tenemos Ubuntu en nuestro servidor, actualizando este paquete ya podremos protegernos de la vulnerabilidad. Por desgracia, los NAS Synology, a pesar de que son unos en los que se ha demostrado la vulnerabilidad, tienen un exploit específico para estos servidores y es de los que más hablan en el hilo del exploit de GitHub, no ha hablado al respecto de esta vulnerabilidad.

Mucho cuidado con los NAS Synology y esta vulnerabilidad en SAMBA

Por el momento no sabemos si Synology tendrá en cuenta esta vulnerabilidad y lanzará un parche de seguridad para sus servidores NAS o, de lo contrario, no lo considerará importante como ha ocurrido otras veces, y esperará a solucionarlo si es que lo soluciona en algunos modelos concretos, dejando otros indefinidamente vulnerables.

Igual que en caso anterior, si tenemos un NAS Synology y queremos evitar comprometerlo, lo mejor es que desactivemos todo lo relacionado con SAMBA de nuestro NAS y, si tenemos carpetas compartidas con permisos de escritura desactivarlas para evitar ponernos en peligro mientras este fabricante se niega a lanzar un parche de emergencia para una vulnerabilidad que, sin duda, es de preocupar.

Aplicación diseñada para facilitar la administración de redes.

Netmagis es una aplicación diseñada para facilitar la administración de red proporcionando: una gestión de datos para servidores DNS y DHCP, un mapa de la red con un gráfico, permitiendo una generación automática de mapas de la topología de red en función de la métrica (en el encaminamiento y el nivel de conmutación). También es una aplicación web, lo que significa que acceder a información se vuelve muy fácil.

Características para los usuarios:

  • Agregar, modificar y eliminar un host (un registro para direcciones IPv4 o AAAA para direcciones Ipv6).
  • Información asociada para cada host: direcciones IPv4 e Ipv6, dirección MAC (que permite definir una asignación estática DHCP), DHCP (que permite definir opciones de DHCP como un arranque de red o un terminal), tipo de host elegido en una lista definida por el administrador (por ejemplo, PC, impresora, etc.), comentarios y el nombre y dirección de correo electrónico de la persona a cargo de un anfitrión.
  • Compatibilidad con varias vistas de DNS (también denominado DNS dividido): el mismo nombre puede asociarse a diferentes direcciones IP de acuerdo con la vista DNS apropiada.
  • Agregar, modificar y eliminar intervalos de direcciones para un servidor DHCP dinámico.
  • Mostrar una lista o un mapa de todos los hosts en una red.
  • Añadir, modificar y eliminar alias (registros DNS CNAME).
  • Agregar, modificar y eliminar “roles de correo” que definen registros MX.
  • Consulta de las personas a cargo de un host.
  • Mostrar el mapa de nivel 2 (conmutación) y el nivel 3 (enrutamiento) de la red si el usuario tiene permisos para consultarlos.
  • Modificar las interfaces del conmutador para establecer la VLAN deseada (incluyendo la VLAN ToIP si existe).
  • Consultar las informaciones de métrica relativas a los equipos de red si el usuario tiene permisos para verlos.

Funciones que aporta a los administradores de red:

  • Gestionar los derechos de acceso de los grupos de usuarios: redes permitidas y direcciones IP permitidas, dominios DNS autorizados, vistas DNS autorizadas, perfiles DHCP accesibles y equipos de red.
  • Administrar redes, dominios DNS, zonas, vistas, administradores y grupos de red, comunidades de usuarios, perfiles DHCP, etc .
  • Definición de servidores de correo para dominios;
  • Definición de un “prólogo” de zona, incluyendo el registro SOA en el que se generará un número de serie para cada modificación de zona.
  • Búsqueda de direcciones MAC y búsqueda de interfaces de equipos de red dada una dirección IP.
  • Estadísticas (por organización, por red, etc.);
  • Permite automatizar algunas operaciones, Netmagis también proporciona scripts de línea de comandos para agregar hosts, modificar las informaciones pertenecientes a un host, etc.
  • Puede confiar en un directorio LDAP y opcionalmente en su servidor CAS, para la autenticación. En el caso de que no tenga ningún directorio LDAP ni servidor CAS, Netmagis puede gestionar directamente los usuarios en una base de datos PostgreSQL.

La autenticación es administrada por Netmagis. La gestión de cuentas se realiza ya sea con una infraestructura LDAP o PostgreSQL existente. En ese caso, administrará cuentas de usuario con sus propias herramientas y Netmagis buscará información relacionada con los usuarios que utilicen su login. O con una base de datos dedicada de PostgreSQL, en ese caso usted utilizará la gerencia del usuario integrada en Netmagis. La autenticación también puede utilizar un servidor CAS con un directorio LDAP

Netmagis es una aplicación ligera y no necesita mucho recursos de computación. Además, si se desea, puede instalarse cada componente en un servidor distinto (no es obligatorio):

  • Servidor Web.
  • Servidor de base de datos (PostgreSQL).
  • Servidor de autenticación (LDAP, CAS + LDAP o PostgreSQL).
  • Servidor DNS.
  • Servidor DHCP (si es necesario).
  • Servidor de retransmisión de correo (si es necesario).
  • Servidor de gestión de equipos de red (si es necesario).
  • Servidor para el enrutamiento de red (si es necesario).

Por supuesto, una computadora podría recibir uno o varios servicios enumerados arriba. El plateamiento lo debe decidir el administrador de la red, de acuerdo a sus propias restricciones con respecto a su arquitectura de red actual y el nivel de seguridad requerido.

Fuente:
http://netmagis.org/

Herramienta de búsquedas de dominios para detectar errores tipográficos, phishing y espionaje corporativo.

Resultado de imagen de DnstwistDnstwist es una herramienta multiplataforma escrita Python, que permite ver qué dominios sospechosos se puede obtener al tratar de escribir un nombre de dominio. Encuentra dominios de aspecto similar que puedan ser utilizados para suplantar un dominio. Puede detectar errores tipográficos, ataques de phishing, fraude y espionaje corporativo.

La idea es bastante sencilla: dnstwist toma un nombre de dominio como una semilla, genera una lista de dominios potenciales de phishing y luego comprueba si están registrados. Además, puede comprobar registros MX de servidores de correo que se puedan utilizar para interceptar correos electrónicos con direcciones mal escritas y además puede generar hashes difusos de las páginas web para ver si son sitios de phishing.

Principales características de Dnstwist:
Amplia gama de eficientes algoritmos de fuzzing de dominios.

  • Permite trabajar con una distribución multiproceso.
  • Resuelve los nombres de dominio a IPv4 e Ipv6.
  • Soporta las consultas de NS y registros MX.
  • Evalúa páginas web con similitud de hashes difusos para encontrar sitios de phishing.
  • Permite analizar si el host MX (servidor de correo) se puede utilizar para interceptar mensajes de correo electrónico mal dirigidos (espionaje).
  • Genera variantes de dominio adicionales utilizando archivos de diccionario
  • Muestra información de la ubicación mediante la base de datos GeoIP.
  • Graba mensajes de servicio de HTTP y del servidor SMTP.
  • Permite operaciones de búsqueda WHOIS para la creación y modificación de la fecha.
  • Imprime las copias en formato CSV y JSON.

Para desarrollar toda la potencia de la herramienta, son necesarios los siguientes módulos de Python. Si falta alguno, dnstwist seguirá funcionando, pero sin muchas interesantes características. Pero la herramienta generara una notificación por la ausencia de los módulos requeridos.

Modo de empleo:

Para empezar, lo mejor es introducir sólo el nombre de dominio como argumento. La herramienta ejecutará sus algoritmos de fuzzing y generara una lista de dominios potenciales de phishing con los siguientes registros DNS: A, AAAA, NS y MX.

$dnstwist.py example.com

Comprobar manualmente cada nombre de dominio para identificar un sitio de phishing podría llevar mucho tiempo. Para solucionar esto, dnstwist hace uso de las denominadas hashes difusos (desencadena hashes a trozos). Un hash difuso es un concepto que implica la capacidad de comparar dos entradas (en este caso el código HTML) y determinar un nivel fundamental la similitud entre ellos. Esta característica única de dnstwist se puede activar con el argumento –ssdeep. Para cada dominio generado, dnstwist  ha podido recuperar el contenido de la respuesta HTTP del servidor (siguiendo posibles redirecciones) y compara su hash difusa con el dominio original. El nivel de similitud será expresado con un porcentaje. Hay que tener en cuenta que es poco probable que se obtenga el 100% en una página web generada dinámicamente, pero cada notificación debe ser inspeccionada cuidadosamente, independientemente del nivel de porcentaje.

$dnstwist.py –ssdeep example.com

En algunos casos, los sitios de phishing se sirven de una URL específica. Si se proporciona una dirección URL completa o parcial como argumento, dnstwist analizará y lo aplicará para cada variante de nombre de dominio generado. Esta capacidad es obviamente útil sólo en combinación con la función de hashing difusa.

$dnstwist.py –ssdeep https://example.com/owa/
$dnstwist.py –ssdeep example.com/crm/login

Muy a menudo los atacantes configuran honeypots de correo electrónico en los dominios de phishing y esperan a que los correos electrónicos con direcciones mal escritas lleguen a el. En este escenario, los atacantes podrían configurar su servidor para aspirar todo el correo electrónico dirigido a ese dominio, independientemente del usuario que fue enviado. Otra característica de dnstwist es que permite llevar a cabo una prueba sencilla en cada servidor de correo ( a través de registro MX de DNS) con el fin de comprobar cuál puede ser utilizado para tales intenciones hostiles. Los servidores sospechosos serán marcados con la etiqueta SPYING-MX.

Hay que tener muy en cuenta los posibles falsos positivos. Algunos servidores de correo no pretenden más que aceptar el control de correos electrónicos, pero luego desprenderse de tales mensajes.

$dnstwist.py –mxcheck example.com

No siempre los nombres de dominio generados por los algoritmos de fuzzing son suficientes. Para generar aún más variantes de nombres de dominio se puede alimentar dnstwist con un archivo de diccionario. La herramienta incluye algunas muestras en un diccionario con una lista de las palabras más comunes que se utilizan en las campañas de phishing. Para mejorar los resultados se debe adaptar el archivo con incorporaciones propias, a las necesidades de cada uno.

$dnstwist.py –dictionary dictionaries/english.dict example.com

Aparte de la buena presentación de salida del terminal que incluye varios colores para diferenciar resultados, la herramienta ofrece dos formatos de salida conocidos y fáciles de analizar: CSV y JSON. Comúnmente utilizados para el intercambio de datos.

$dnstwist.py –csv example.com > out.csv
$dnstwist.py –json example.com > out.json

Por lo general, la lista generada de dominios tiene más de un centenar de filas,  especialmente para los nombres de dominio más largos. En tales casos, se pueden filtrar para mostrar sólo las registradas utilizando argumento –registered.

$dnstwist.py –registered example.com

La herramienta incorpora la base de datos GeoIP. Utilizando el argumento –geoip muestra la ubicación geográfica(nombre del país) para cada dirección IPv4.

$dnstwist.py –geoip example.com

Por supuesto, todas las características ofrecidas por dnstwist junto con breves descripciones están siempre disponibles utilizando la ayuda:

$dnstwist.py –help

Fuente: github