Blog

Noticias y eventos

¿QUÉ ES OODA?

 

OODA es una solución de software orientada al análisis, detección y respuesta de incidentes ante ataques de suplantación de identidad, también conocidos como Phishing.

O.O.D.A. proviene del ciclo de decisión (Observe.Orient.Decide.Act), concepto bastante utilizado sobre todo en estrategias militares. La herramienta pretende ser útil para alertar a tiempo real de nuevos dominios registrados similares al fijado como criterio, siendo capaz de generar evidencias y proporcionar la información más relevante de los mismos tras ser detectados. A su vez, su uso es ideal no sólo para alertar de nuevos dominios sospechosos registrados, sino también para percatarse de qué dominios similares al nuestro existen a día de hoy.

 

ESTRUCTURA TECNOLÓGICA

 

La estructura de software a grandes rasgos de OODA es la siguiente:

 

En la figura anterior, se reconocen las partes principales de la herramienta:

Primera Fase: Especificamos el dominio a analizar.

Segunda Fase: Esta segunda fase (P.A.), se basa en programas de apoyo para el análisis de dominios semejantes, compactando la utilidad de múltiples herramientas en un mismo resultado, siendo los no identificados desechados y eliminados. Estos resultados no procesados, son depositados en un fichero de soluciones temporal.

Tercera Fase: Posteriormente, junto a los resultados temporales obtenidos, se adjunta una base de datos con aproximadamente 1.450 extensiones de dominio. En esta fase, a través de paquetes ICMP, se comprueba la respuesta por parte de cada uno de los dominios resultantes combinados con las extensiones de la base de datos. En caso de dar positivo, estos dominios son almacenados en un fichero que posteriormente es adjuntado a los resultados de la segunda fase, pasando a continuación a la fase de subdominios.

Cuarta Fase: En la fase de subdominios, otra base de datos es adjuntada, esta vez con alrededor de 20.000 subdominios. Al igual que en la fase anterior, estos subdominios son adjuntados uno a uno al dominio pasado como criterio, analizando la respuesta por parte del servidor para determinar si existen o no.

Algo a destacar para ambas fases es el prototipo hilo que lleva implementado, permitiendo ejecutar múltiples procesos en paralelo equivalente a las búsquedas y peticiones que se están realizando, obteniendo rapidez en los resultados.

Quinta Fase: Similar a la fase anterior, esta vez la base de datos de subdominios es empleada para cada uno de los dominios registrados distintos al fijado como criterio que han sido encontrados. De esta forma, conseguimos obtener todos los subdominios para todos los dominios válidos registrados que OODA ha encontrado

Sexta Fase: Esta última fase pretende, a raíz de los resultados recolectados, aislar falsos positivos con el fin de reducir la lista de dominios encontrados a dominios válidos registrados.

Una vez se tienen los resultados procesados, como recolector de evidencias, ante un posible post-anulado del dominio, de manera automática tras ser detectados se hace un screenshot de los mismos, siendo almacenados en un directorio específico del equipo donde posteriormente podremos analizar los resultados.

Una vez se obtienen los resultados para cada uno de los niveles, mediante IA, se realizan comparaciones entre las capturas recogidas y la web legítima, con el fin de determinar porcentajes de similitud existentes con la misma. Así mismo, en un gradiente de colores orientado al nivel de riesgo, cada uno de los Hostings correspondientes a los dominios finales son representados.

Tras finalizar el proceso, se lleva a cabo una monitorización en segundo plano de los resultados obtenidos, alertando en caso de obtener nuevos dominios registrados.

 

GENERADOR DE ALERTAS

 

OODA se encuentra construido sobre el lenguaje de programación Bash, bastante común para la orientación de programas en equipos Linux. La parte más significante del proceso reside justamente en el último paso, donde a través del fichero checker.sh se realizan las comprobaciones finales de nuevos dominios registrados en base a las evidencias obtenidas:

Analizando los ficheros, es de esta forma como tras registrarse un nuevo dominio, detrás de todo el procedimiento técnico detallado en la estructura tecnológica, somos alertados vía notify-send, dándonos un resumen del indicador de compromiso detectado:

Así mismo, OODA está vinculado con un bot de Telegram que nos alertará en todo momento de estos indicadores de compromiso, enviándonos una breve información previa como capturas de pantalla, búsqueda whois e información sobre el dominio detectado adjunta en documentos:

 

RESUMEN GENERAL

 

OODA pretende ser capaz de detectar nuevos dominios registrados similares al nuestro, alertándonos lo antes posible por diferentes medios. A la vez que estamos siendo notificados, la herramienta hace un breve análisis sobre el dominio considerado como sospechoso, proporcionándonos información de carácter útil que posteriormente podremos visualizar desde la propia web.

A su vez, la herramienta pretende ser práctica para encontrar dominios ya existentes registrados similares al nuestro, permitiéndonos tener control no sólo de posibles ataques futuros, sino también de posibles ataques que nos hayan podido hacer en el pasado.

 

 

Artículo publicado por:

Marcelo Raúl Vázquez Pereyra
redteam@enigmasec.com