Kit Hunter es un proyecto personal para aprender Python, y una herramienta básica de escaneo que buscará directorios y localizará kits de phishing basados en marcadores establecidos. A medida que se produce la detección, se genera un informe para los administradores.
Por defecto, el script generará un informe que muestra los archivos que fueron detectados como potencialmente problemáticos, la lista de los marcadores que los indicaron como problemáticos (también conocidos como tags), y luego muestra la línea exacta de código donde ocurrió la detección.

Instalación de Kit Hunter
Requerimientos
Kit Hunter requiere el uso de Python 3. Las pruebas se realizaron con la versión 3.7.3
Además de Python 3, será necesario que el script disponga de las siguientes librerías:
os
time
gzip
zipfile
rarfile
tarfile
sys
argparse
La instalación de Kit Hunter es fácil.
Puedes clonarlo en GitHub mediante la línea de comandos:
gh repo clone SteveD3/kit_hunter
También puedes descargar un archivo ZIP directamente
Una vez descargado, tendrás que colocar las carpetas de etiquetas (tag_files
) en algún lugar del sistema, y luego editar kit_hunter_2.py
y asegurarte de que las rutas están establecidas.
Encontrarás estas rutas en la parte superior del script. Las secciones que necesitarás editar están abajo. Lo siguiente, es una configuración como un ejemplo.
kh_shell_scan = '/lab/steved3/PHISHING/Kit-Hunter-2/tag_files/shell_scan/'
kh_quick_scan = '/lab/steved3/PHISHING/Kit-Hunter-2/tag_files/quick_scan/'
kh_full_scan = '/lab/steved3/PHISHING/Kit-Hunter-2/tag_files/'
Una vez completada la configuración, estás listo para ejecutar el script.
Uso de Kit Hunter
Para lanzar un escaneo completo utilizando la configuración por defecto:
python3 kit_hunter_2.py
Para lanzar un escaneo rápido, utilizando reglas de detección mínimas:
python3 kit_hunter_2.py -q
Para lanzar un escaneo personalizado:
python3 kit_hunter_2.py -c
Aquí hay un ejemplo de Kit Hunter v.2.5.9:
| ==============================================================================
| Archive Scanned:
|
| /lab/steved3/PHISHING/Kit-Hunter-2/Scanner/crew4mellc.top_OurTime (3).zip
|
| ==============================================================================
| The following files contain known phishing keywords:
| ==============================================================================
|
| File: 'ourtime/index.html'
| File: 'ourtime/index2.html'
| File: 'ourtime/login2.php'
|
| ==============================================================================
| The following tag file reported matches: chalbhai_Phishing_Detection.tag
| ==============================================================================
|
| Tag: 'id="formimage1"'
|
| ==============================================================================
| The following tag file reported matches: Phishing_Kit_URL_Indicators.tag
| ==============================================================================
|
| Tag: 'ourtime.com'
|
| ==============================================================================
| The following lines contained the previously flagged phishing tags:
| ==============================================================================
|
| Line: '<div id="formimage1" style="position:absolute; left:184px; top:571px;
| Line: '<div id="formimage1" style="position:absolute; left:221px; top:288px;
| Line: 'header("Location: hxxp://ourtime.com");'
| ==============================================================================
En el ejemplo anterior, podemos ver que este archivo coincidió con un conocido sistema de plantillas de phishing, y está dirigido a una red social. Si no estás ejecutando Ourtime.com, entonces ver este archivo, o su contenido extraído en tu servidor web es un problema serio.
Si quieres desactivar el listado de líneas coincidentes, que ves al final del informe, utiliza el modificador -l
. Asimismo, si no quieres ver un listado de carpetas y archivos en los que no se ha detectado nada (cero coincidencias), utiliza la opción -m
.
Escaneo de directorios
Puedes ejecutar kit_hunter_2.py
desde cualquier ubicación utilizando el parámetro -d
para seleccionar el directorio a escanear:
python3 kit_hunter_2.py -d /ruta/de/directorio
Sin embargo, es más fácil si colocas kit_hunter_2.py
en el directorio por encima de tu raíz web (por ejemplo, /www/
o /public_html/
) y llama al script desde allí.
El informe final se generará en el directorio que se está escaneando.
Una vez completado el escaneo, la salida del script te indicará la ubicación del informe de escaneo guardado.
Escaneo de Shell
Esta última versión de Kit Hunter incluye la detección de shell. Los scripts shell a menudo se empaquetan con kits de phishing o se utilizan para desplegar kits de phishing en servidores web.
Kit Hunter buscará algunos elementos comunes de los scripts de shell. El proceso funciona exactamente igual que el escaneo normal, sólo que las detecciones de shell se llaman con el modificador -s
. Este es un escaneo independiente, por lo que no puedes ejecutarlo con otros tipos. Sin embargo, puedes aprovechar los modificadores -m
y -l
con el escaneo de shell.
Consulta la sección de ayuda del script para obtener más detalles.
python3 kit_hunter_2.py -h
Una vez completado el escaneo, la salida del script te indicará la ubicación del informe de escaneo guardado.
Archivos de Etiquetas
En lo que respecta a los archivos de etiquetas, hay 41 archivos de etiquetas que se envían con la versión 2.5.8 de Kit Hunter. Estos archivos de etiquetas detectan las campañas de phishing dirigidas, así como varios tipos de trucos de phishing, como la ofuscación, las plantillas, la tematización e incluso los kits de marca como Kr3pto y Ex-Robotos. Se añadirán nuevos archivos de etiquetas, y los archivos de etiquetas existentes se actualizarán de forma semirregular. Consulta el registro de cambios para más detalles.
Como en el caso de la v1.0, cuanto más largo sea el archivo de etiquetas, más tardará el script en leerlo.
kit_hunter (este enlace se abre en una nueva ventana) por SteveD3 (este enlace se abre en una nueva ventana)
A basic phishing kit scanner for dedicated and semi-dedicated hosting