Browser como Honey-Pot, ¿verdad?

2

Estoy observando todo este movimiento en torno al proyecto Metasploit, la gran cantidad de complementos de explotación diferentes y miles de paquetes de explotación. Ahora, es verdad, cualquiera podría configurar su propio agujero negro en la red. Además, cualquier administrador de cualquier servicio en la red podría atacarme solo por diversión, mientras leo un artículo en su página.

Lo sé, solo hay una excepción, es: sistema actualizado, navegador actualizado, javascript desactivado de forma predeterminada y sin ningún reproductor flash. Sin embargo, puedo ver dicha opción para verificar mis servicios para el juego limpio. Es un navegador explotable para Honey-Pot.

De la misma manera que Metasploit recolecta agujeros en diferentes navegadores, este Honey-Browser podría recolectar agujeros para mantener un sistema de alerta. Sé que FireFox y Chromium son de código abierto y serían la base para dicho Honey-Browser. Un sistema de alerta de este tipo con todas las vulnerabilidades conocidas podría detectar cualquier actividad Http / Https / Whatelse en mi navegador como un ID de red.

¿Hay algo de lo que estoy hablando? Por ejemplo, conozco el Mantra Security Framework . Hay cientos de extensiones o complementos de ataque, pero nadie a quien defender.

Por ejemplo,

  1. ¿Cómo funciona un paquete de explotaciones? Es un paquete de exploits, y todos los exploits atacan al navegador, ya sea IE, FF o Chrome, uno por uno, en secuencia.

  2. Una vez que se detectó una de las vulnerabilidades mediante la firma, la siguiente parte de la sesión podría escribirse en una especie de caja de arena para proteger el navegador.

Este complemento podría ser un buen escudo para el navegador.

    
pregunta anonymous 18.07.2015 - 07:11
fuente

3 respuestas

1

Un honeypot no es un complemento que lo defenderá mientras navega. Para esto, ya tiene varios complementos disponibles, cada uno dedicado a enfrentar diferentes tipos de ataques (ya sea phishing, rastreo, SSL / JavaScript / Flash relacionado, etc.).

Por el contrario, un honeypot está diseñado para atraer y permitir que los ataques los estudien mejor. La forma en que podría imaginar un sistema de navegador tan honeypot sería la siguiente:

  1. Configure una máquina virtual que imitará un entorno de usuario final pero que se usará solo para este sistema honeypot (no desea que todos los complementos hostiles que descargue lleguen a sus archivos reales, ¿verdad?)
  2. Descargue una lista de URL hostiles conocidas (puede encontrar varias en Internet, principalmente para fines de filtrado). Es posible que desee que el navegador de su honeypot navegue por la web de forma aleatoria o que visite los mismos sitios, pero las posibilidades de capturar algo en su honeypot serán muy bajas,
  3. Utilice un sistema de automatización del navegador , como Selenium , por ejemplo, que se dedica principalmente al mundo de control de calidad, pero debería funcionar para el El trabajo aquí también, ya que su objetivo es emular la acción del usuario en navegadores reales.

De esta manera, debería poder construir un sistema virtualizado donde los principales navegadores exploren automáticamente las peores URL del momento, se contaminen con todos y cada uno de los programas maliciosos, lo que le permite recopilar y analizar los datos recopilados a voluntad. (como crear una base de datos para una mayor detección, ya que mencionó esto en su pregunta).

Sin embargo, asegúrese de verificar las buenas prácticas de las ollas de miel (ya hay varias publicaciones sobre el tema por aquí) ya que, por ejemplo, no quiere que su olla de miel sirva como un relevo para contaminar el resto de su red interna. , tampoco quiere que su tarro de miel sirva como relé para contaminar otros sistemas externos o se convierta en un bot de cualquier tipo.

    
respondido por el WhiteWinterWolf 18.07.2015 - 15:18
fuente
1

AFAIK existen varias implementaciones, pero la apertura a menudo está limitada por la ventaja competitiva (las compañías de AV, por ejemplo). Microsoft ha publicado gran parte de su proyecto honeymonkey. Consulte enlace para obtener más detalles.

    
respondido por el wireghoul 19.07.2015 - 09:49
fuente
0

Si entendí bien el título de su pregunta, y si está buscando cosas de código abierto:

  

Lo sé, Firefox y Chromium son de código abierto y serían la base para   tal Honey-Browser.

luego puede usar, por ejemplo, Thug que es un emulador de navegador escrito en Python que interactúa automáticamente con el sitio web malicioso para Revisa sus hazañas.

También hay otras herramientas equivalentes de Thug.

Tenga en cuenta que los ataques a los navegadores se realizan principalmente mediante el uso de código JavaScript malintencionado, especialmente con los ataques de descarga desde el automóvil . Una de las soluciones que implementé para detectar sitios web comprometidos destinados a clientes / visitantes se basa en un honeypot que utiliza varias máquinas virtuales en las que se ejecutan diferentes sistemas operativos y navegadores, sin antivirus instalado, y un programa que verifica el estado del sistema. sistemas operativos y navegadores durante y después de la navegación automática de todas las páginas de una URL determinada.

    
respondido por el user45139 18.07.2015 - 08:06
fuente

Lea otras preguntas en las etiquetas