Detecting Phishing
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
フィッシングの試みを検出するには、現在使用されているフィッシング技術を理解することが重要です。この投稿の親ページにはこの情報があるので、今日使用されている技術について知らない場合は、親ページに行って少なくともそのセクションを読むことをお勧めします。
この投稿は、攻撃者が何らかの形で被害者のドメイン名を模倣または使用しようとするという考えに基づいています。あなたのドメインが example.com
と呼ばれ、何らかの理由で youwonthelottery.com
のような全く異なるドメイン名でフィッシングされる場合、これらの技術ではそれを明らかにすることはできません。
メール内で類似のドメイン名を使用するフィッシングの試みを明らかにするのは比較的簡単です。 攻撃者が使用する可能性のある最も可能性の高いフィッシング名のリストを生成し、それが登録されているかどうかを確認するか、単にそれを使用しているIPがあるかどうかを確認するだけで十分です。
この目的のために、以下のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを確認するためにDNSリクエストを自動的に実行します:
この技術の簡単な説明は親ページにあります。または、 https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/ で元の研究を読むことができます。
例えば、ドメイン microsoft.com の1ビットの変更は、windnws.com に変換できます。 攻撃者は、被害者に関連するビットフリッピングドメインをできるだけ多く登録し、正当なユーザーを自分のインフラにリダイレクトすることができます。
すべての可能なビットフリッピングドメイン名も監視する必要があります。
潜在的な疑わしいドメイン名のリストができたら、それらをチェックする必要があります(主にHTTPおよびHTTPSポート)被害者のドメインの誰かに似たログインフォームを使用しているかどうかを確認するために。
ポート3333が開いていて gophish
のインスタンスが実行されているかどうかを確認することもできます。
発見された疑わしいドメインのそれぞれがどれくらい古いかを知ることも興味深いです。若いほどリスクが高くなります。
疑わしいウェブページのHTTPおよび/またはHTTPSのスクリーンショットを取得して、それが疑わしいかどうかを確認し、その場合はアクセスして詳細を確認することができます。
さらに一歩進みたい場合は、疑わしいドメインを監視し、時々(毎日?数秒/分しかかかりません)さらに検索することをお勧めします。関連するIPのオープンポートもチェックし、gophish
や類似のツールのインスタンスを検索する(はい、攻撃者も間違いを犯します)ことをお勧めします。また、疑わしいドメインおよびサブドメインのHTTPおよびHTTPSウェブページを監視して、被害者のウェブページからログインフォームをコピーしているかどうかを確認します。
これを自動化するために、被害者のドメインのログインフォームのリストを持ち、疑わしいウェブページをスパイダーし、疑わしいドメイン内で見つかった各ログインフォームを被害者のドメインの各ログインフォームと比較するために ssdeep
のようなものを使用することをお勧めします。
疑わしいドメインのログインフォームを特定した場合、無効な資格情報を送信し、被害者のドメインにリダイレクトされるかどうかを確認することができます。
親ページでは、被害者のドメイン名をより大きなドメイン内に入れるというドメイン名のバリエーション技術についても言及しています(例:paypal-financial.com は paypal.com のためのものです)。
以前の「ブルートフォース」アプローチを取ることはできませんが、実際にはそのようなフィッシングの試みを明らかにすることが可能です。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書の透明性を読み取ることや監視することで、名前の中にキーワードを使用しているドメインを見つけることが可能であることを意味します。例えば、攻撃者が https://paypal-financial.com の証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることを知ることができます。
投稿 https://0xpatrik.com/phishing-domains/ では、特定のキーワードに影響を与える証明書を検索し、日付(「新しい」証明書のみ)およびCA発行者「Let's Encrypt」でフィルタリングするためにCensysを使用できると提案しています:
ただし、無料のウェブ crt.sh を使用して「同じこと」を行うこともできます。キーワードを検索し、日付とCAで結果をフィルタリングすることができます。
この最後のオプションを使用すると、Matching Identitiesフィールドを使用して、実際のドメインのいずれかのアイデンティティが疑わしいドメインのいずれかと一致するかどうかを確認できます(疑わしいドメインは偽陽性である可能性があることに注意してください)。
もう一つの代替手段は、CertStreamという素晴らしいプロジェクトです。CertStreamは、新しく生成された証明書のリアルタイムストリームを提供し、(ほぼ)リアルタイムで指定されたキーワードを検出するために使用できます。実際、phishing_catcherというプロジェクトがそれを実行しています。
最後の代替手段は、いくつかのTLDの新しく登録されたドメインのリストを収集し、これらのドメイン内のキーワードを確認することです。ただし、長いドメインは通常1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることはできません。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)