Domain Hunter -=DMARC Edition=-

Breve descripción del proyecto:

¿Qué es?

Domain Hunter es un proyecto relacionado con la ciberseguridad cuyo objetivo principal es adquirir datos sobre las configuraciones de dominios registrados a nivel global para transformarlos posteriormente en ciber inteligencia.

¿Por qué?

Uno de los vectores de ataque usado por los ciber delincuentes es el correo electrónico, mediante distintas técnicas el atacante logra confundir a la víctima para su beneficio. Esta técnica es conocida como “phishing”.

Tras observar las distintas técnicas usadas en la ejecución de dicho ciberataque (dirigido o campaña si es masivo) se observa que, en un porcentaje de ocasiones con cierta relevancia, la dirección de correo electrónico atacante coincide con el dominio original suplantantado, esta categoría de phishing es conocida como mail spoofing.

Para realizar este tipo de ataques los ciberdelincuentes aprovechan configuraciones débiles o inexistentes en los dominios, lo que les permite suplantar la identidad de la victima. Al existir una medida de prevención como es DMARC y ser ésta madura, causa cierta preocupación observar su relativa baja tasa de implementación al realizar chequeos selectivos en dominios de empresas privadas, particulares, académicos, jurídicos, e-commerce… etc. Al tratarse de chequeos manuales y selectivos, la muestra no es representativa, por lo que se hace imprescindible realizar una barrido a internet lo más amplio posible para poder determinar el estado de implementación de esta medida de protección ante el mail spoofing.

Finalidad de Domain Hunter

Dar respuesta a las siguientes preguntas:

  • ¿Qué % implementación hay?
  • ¿Por qué no está 100% implementado?
  • ¿Qué tipo de configuración se usa?
  • ¿Es válida la configuración usada?
  • ¿Se configura el envío de logs para su análisis?
  • ¿Habrá evolución de implementación en el tiempo?
  • Elaboración de conclusiones.
  • Divulgación del trabajo realizado.
  • Concienciación.

¿Cómo?

Estos son los pasos seguidos.

  • Localizar bases de datos con dominios registrados:
    • Se adquiere una con 250 millones de dominios divididos en 624 extensiones (.com, la más predominante).
  • Decidir qué herramientas de Sofware usar y qué adaptaciones son necesarias.
  • Decidir ubicación de los “labs” de análisis proactivo.
  • Realización de pruebas de concepto y prácticas.
  • Inicio de escaneo y toma de medidas para dimensionar la carga de trabajo y el tiempo necesario para finalizar la etapa de toma de datos:
    • Aproximadamente 10 millones de dominios / 30 horas con el Hardware disponible.
  • Ingesta de datos a una instancia privada de Elasticsearch.
  • Analítica de datos y visualizaciones mediante ELK

el Equipo

Requisitos Hardware y Software
Servidores en marcha, SW y modifcaciones ok 100%
Orígen de datos
Base de datos, 250 millones de dominios 100%
Trabajo de campo: escaneo de los dominios versión 2
Porcentaje aproximado de dominios escaneados 100%
Ingesta de datos
100%
Elabroación inteligencia: responder las preguntas originales
45%
Elabroación documentación final
25%