Ditto: herramienta para generar variantes homógrafas de un dominio

Un ataque homógrafo es cuando se registra un dominio o dominios que son similares a los auténticos, utilizando caracteres parecidos u homógrafos, por ejemplo:

https: //titter.com/
https: //cludflare.com


Si recordáis, ya lo vimos en el blog hace unos años. Por lo general, este tipo de ataques de ingeniería social son usados para dirigir a la víctima a sitios web maliciosos, con la intención de infectarles con algún malware o intentar robar sus credenciales

Hoy os traemos Ditto, una pequeña herramienta bajo licencia GPL3 que genera todas la variantes homógrafas de un dominio, comprobando cuáles están disponibles y cuáles ya están registrados.

Uso con Docker

La imagen en el hub de docker se actualiza en cada push, simplemente ejecuta:

docker run evilsocket/ditto -h

Compilación desde la fuente

Para ello se requiere del compilador go, esto instalará el binario en $GOPATH/bin:

# asegúrese de que se utilicen los módulos go
GO111MODULE=on go get github.com/evilsocket/ditto/cmd/ditto


Uso

Para transformar solo un string:

ditto -string hackplayers

 
Para un dominio:

ditto -domain facebook.com


Es posible usar varios workers simultáneos para aumentar la velocidad (ADVERTENCIA: podría causar un ban temporal de la IP por parte de los servidores de WHOIS):

ditto -workers 4 -domain facebook.com

Si, en lugar de mutar el nombre de dominio, queremos verificar otros TLD (throttle está configurado a 1 para evitar ser bloqueado por los servidores de WHOIS debido a un número elevado de peticiones en poco tiempo):

ditto -domain facebook.com -tld -throttle 1000 -limit 100

Mostrar solo dominios disponibles:

ditto -domain facebook.com -available

Mostrar solo dominios registrados:

ditto -domain facebook.com -registered

Muestra solo los dominios registrados que se resuelven en una IP:

ditto -domain facebook.com -live

Mostrar información de WHOIS:

ditto -domain facebook.com -live -whois

Guardar en archivo CSV con información de WHOIS ampliada:

ditto -domain facebook.com -whois -csv output.csv

Seguir funcionando y controlando los cambios cada hora:

ditto -domain facebook.com -monitor 1h

Lo mismo, pero también mantiene y almacena los cambios como archivos JSON:

ditto -domain facebook.com -monitor 1h -changes /some/path -keep-changes

Ejecuta un comando si se han detectado cambios (consultar el ejemplo send-email-report.sh en el repositorio, agregado automáticamente en la imagen de docker):

ditto -domain facebook.com \
    -monitor 1h \
    -trigger "/usr/bin/send-email-report.sh {{.Domain}} {{.ChangesFile}} your@email.com"


Para más opciones:

ditto -help

Proyecto: https://github.com/evilsocket/ditto

Comentarios