Sitios web maliciosos

5

Sólo quería obtener la opinión de todos sobre esto. En Seguridad de la información, recibe varias alertas sobre máquinas particulares en su red que van a sitios y / o IP que se han marcado como "maliciosos". Aunque mucho tiempo, esto es realmente malo, hay otros momentos en que los sitios web comparten la misma IP con muchos otros, por lo tanto, se marca debido al host. Mucho de esto está ocurriendo en la nube también. Entonces, una vez dicho esto, ¿cómo determina realmente si un sitio es malo o no? Actualmente utilizo varios sitios web como:

Robtex, ISC, Ipvoid, Urlvoid, MyWOT, McAfee Site Advisor, Virustotal, Anubis, varias listas de dominios de malware, etc.

Pero incluso entonces, los datos a veces son cuestionables e inconsistentes. ¿Hay sitios web y / o herramientas adicionales que todos recomendarían para un análisis más detallado? Tal vez Cuckoo o algún tipo de caja de Linux reforzada donde realmente pueda ir al sitio web y buscar redirecciones o poder extraer los diversos archivos del sitio que su "máquina infectada" está tratando de obtener. Cualquier información sería apreciada!

    
pregunta TobyS 24.03.2011 - 15:14
fuente

7 respuestas

2

Para aquellos que están marcados como maliciosos y que realmente quieres ir y verificar, lo mejor es usar una máquina independiente en su propia red que se demolerá y reconstruirá posteriormente.

Como esto puede llevar mucho tiempo, la solución que utilizo es una máquina virtual que se ejecuta bajo vmware o virtualbox, que acabo de restablecer a los valores iniciales una vez que termine.

Depende de lo que quiera hacer, sin embargo, en un entorno empresarial puede tener necesidades muy diferentes a las de un entorno de investigación.

    
respondido por el Rory Alsop 24.03.2011 - 15:53
fuente
1

Un método para dividir algunos análisis manuales de un sitio con seguridad adicional es ejecutar un vm de prueba que luego puede volver a una imagen instantánea. Obviamente, esto no es completamente infalible, ya que existen métodos para atacar al host, pero en una compensación de seguridad / conveniencia a menudo es una buena manera de hacerlo.

    
respondido por el TobyS 24.03.2011 - 16:01
fuente
1

Patrulla web automatizada con Strider HoneyMonkeys de Microsoft Research. Tenían muchas máquinas virtuales, navegaban en la web y luego comparaban las diferencias de la máquina (anterior y posterior). Encontraron muchos días de esa manera.

    
respondido por el labmice 24.03.2011 - 23:48
fuente
1

Creo que deberías echar un vistazo al siguiente sitio. Parece que hace lo que está buscando.

enlace

    
respondido por el labmice 14.05.2011 - 19:23
fuente
1

¿Cómo puedo saber qué sitios son maliciosos? Yo no. No lo intento No hay una manera buena y confiable de detectar que un sitio es malicioso. No es un buen uso de su tiempo. La vida es demasiado corta para meterse con eso.

En cambio, es un mejor uso de su tiempo para asegurarse de que su software esté configurado de manera que si un sitio es malicioso, no pueda causar ningún daño. Activar actualizaciones automáticas. Use un navegador que tenga un buen historial de seguridad (Chrome ha estado tomando un verdadero papel de liderazgo en seguridad últimamente). Desinstale los complementos que no necesita, como Java y Silverlight. Asegúrese de que los complementos restantes, como Flash, estén actualizados. Si realmente eres serio, considera instalar una extensión protectora, como NoScript. Si haces eso, deberías estar en buena forma para la navegación web diaria.

    
respondido por el D.W. 15.05.2011 - 04:35
fuente
0

Para una revisión rápida, generalmente visitaré el sitio con Firefox / NoScript y buscaré cualquier cosa sospechosa. En última instancia, simplemente elijo confiar en la advertencia en su mayor parte. No tengo el tiempo, ni es realmente un sitio que nuestra empresa necesite para visitar, así que, más allá de esa revisión superficial, elijo confiar en las advertencias y mantenerme alejado si Chrome / Firefox / IE advierten yo.

    
respondido por el pk 24.03.2011 - 15:20
fuente
0

¿De qué tipo de contexto estamos hablando? ¿Pequeños negocios? ¿Red corporativa? ¿Instalaciones gubernamentales de alto secreto?

En general, si está interesado en mantener la seguridad: bloquee primero, haga preguntas más tarde.

    
respondido por el Hyppy 24.03.2011 - 15:21
fuente

Lea otras preguntas en las etiquetas