Автоматизація пошуку клонів сайтів та сайтів-одноденок

А якщо, наприклад, ввести замість «sberbank.ru» домен «sbrrbank.ru» (сплутавши «e» і «r», що стоять поруч), то ми потрапимо на ось такий ресурс.

Зрештою, незнання української мови та використання «Сбірбанку» замість «Сбербанку» наводить нас на онлайн-казино:

сайтів

Боротьба з такими доменами, з одного боку, проста. Достатньо лише відстежувати через реєстраторів доменів або сервіс whois поява нових доменів в мережі Інтернет. Але в цьому і складність — кількість таких нових доменів може бути величезною і з'являтися вони можуть щодня (насправді щохвилини). У ручному режимі відстежувати такі зміни досить складно. Наприклад, ось як виглядає звичайний пошук доменів, що містять посилання на популярну і поки що не заборонену в Україні соцмережа Facebook:

пошуку

пошуку

При цьому варто звернути увагу, що пошук ускладнюється тим, що зловмисники можуть створювати домени, які використовують різні поєднання символів, які зазвичай не використовуються компаніями, чиї домени обрані як жертва. Наприклад, букву "o" зловмисники можуть замінити на цифру "0", букву "A" на цифру "4", заголовну "i" на рядкову "L", "s" на "5", "z", "es" або "2" і т.д. Для того ж Facebook це виглядає так:

клонів

Зрештою, зловмисник може використовувати повторення символів. Той самий «facebook» можна замінити на «faceboook» і це може залишитися непоміченим:

сайтів

Якщо відволіктися від буржуїнських прикладів і подивитися на Рунет, то взявши як приклад найпопулярніший в Україні банк, ми отримаємо наступну картину:

сайтів-одноденок

Зрозуміло, що Ощадбанк — не єдина компанія, яка страждає на описані атаки. Наприклад, у Рунеті можна зустріти домени, пов'язані з компанією Cisco:

або з сайтомПрезидента України:

Для автоматизації даного завдання та можливості перевірки доменів, що цікавлять, на льоту (наприклад, через міжмережові екрани, системи контролю доступу в Інтернет, SIEMи, SOCи тощо) можна використовувати розроблений нам Investigate API. Наприклад, наведений нижче код дозволяє знайти шуканий рядок в доменах, створених за останню добу:

Шуканий рядок може бути створений заздалегідь і включати всі можливі комбінації символом, які можуть зустрічатися в доменах, що цікавлять нас. У тому випадку, якщо брендів, які ми хочемо моніторити кілька, то краще скористатися окремим скриптом, який на виході видає набір можливих замін для того чи іншого символу:

Далі нам залишається тільки на регулярній основі (наприклад, раз на добу) моніторити Інтернет у пошуках нових доменів, що використовують цікаві нам імена брендів (компаній, продуктів, послуг і т.д.). Ми автоматизували це завдання у вигляді скрипта barnd_watch на Python, який може бути знайдений на GitHub. Працювати з ним легко — досить просто вказати пошуковий рядок, що цікавить нас:

пошуку

Якщо ж ми хочемо виключити якісь домени з пошуку (якщо передбачається, що їх буде багато в пошуковій видачі), то для цього достатньо дати на вхід скрипту заздалегідь підготовлений файл із доменами-виключеннями:

Ось таким нехитрим чином Cisco OpenDNS допомагає автоматизувати процес пошуку сайтів-клонів та інших доменів, які використовуються зловмисниками для атак на компанії та їх користувачів. Перевага сервісів Cisco OpenDNS Investigate або Cisco OpenDNS Umbrella в тому, що вони не тільки автоматизують пошук, але й, використовуючи алгоритми класифікації, дозволяє зробити висновок про шкідливість того чи іншого домену. Ось як,наприклад, це виглядає для домену, який використовує бренд Газпромбанку:

клонів