¿Es un buen método comprobar la reputación de una URL?

1

Vio un documento como this que menciona la comprobación de la reputación de la URL como Un medio para detectar malware. Creo que esto es algo que los hackers pueden explotar fácilmente:

Cuando un pirata informático planea configurar una URL maliciosa, primero hará que la URL sea benigna y solicitará servicios en línea como virustotal para verificar su reputación, por supuesto, todo está bien. Luego cambió el código de la aplicación web (por ejemplo, una página php) para que sea malicioso.

Me pregunto si esta posibilidad hace que la comprobación de reputación de la URL sea menos útil.

    
pregunta packetie 23.10.2016 - 17:45
fuente

2 respuestas

1

El hecho de que un cracker pueda cambiar el contenido de la página después no es un gran problema. Virustotal (y muchos otros) le permiten volver a escanear la URL en lugar de revisar el informe anterior.

El problema real aquí es cómo , no cuando estos sitios determinan si un sitio / página es malicioso o no:

  • Buscar firmas de malware conocido es muy poco probable que detecte malware desconocido.
  • El servidor podría estar ocultándose y mostrar una versión limpia de sí mismo al escáner.
  • El análisis del comportamiento de una página tampoco ayudará, podría detectar que algo está apagado o podría requerir algún tipo de información del usuario. O en el caso más extremo: podría ser una bomba de tiempo que se disparará solo un minuto después de haber sido escaneada.

Los escáneres solo detectarán la gripe común de la WWW, no algo que realmente sea intencional. Si alguien quisiera ser feliz, todo lo que tendría que hacer es ser creativo y hacer algo en lo que no se haya pensado antes.

Si quieres estar en el lado seguro, puedo recomendar algunos navegadores que son bastante seguros: un cliente telnet (aunque tiene poca compatibilidad con TLS) y GET de lwp-request .

    
respondido por el Oskar Skog 23.10.2016 - 18:16
fuente
3

La verificación de la reputación de una URL es un enfoque útil pero, por supuesto, no cubre todos los malware o URL de phishing. El filtrado basado en URL es muy rápido en comparación con el análisis de la carga útil de respuesta. Esto permite un bloqueo temprano y barato del acceso a recursos maliciosos potenciales y, por lo tanto, también puede preservar más recursos para un análisis más profundo de sitios aún desconocidos.

La reputación generalmente no se realiza en base a una URL específica sino en el sitio, es decir, si hay una única infección de malware definida en este sitio, entonces todo el sitio (o incluso la dirección IP) obtiene una mala reputación. Esto tiene sentido porque si el atacante logra que una URL en el sitio distribuya malware, es muy probable que el atacante pueda controlar más de esta URL.

Los servicios de reputación tampoco se pueden engañar simplemente permitiendo que alguien como virustotal verifique la URL o incluso todo el sitio. En su lugar, estos servicios de reputación escanean la web por sí mismos y también obtienen información del usuario o información sobre sitios incorrectos al analizar el phishing o los correos de spam. También incluyen información histórica sobre los dominios, es decir, la antigüedad del dominio, la frecuencia con la que las direcciones IP han cambiado en el pasado, etc. Un servicio de reputación muy utilizado es la Búsqueda segura de Google, que está habilitada de forma predeterminada en Chrome y Firefox.

Esto no significa que los atacantes no intenten evitar estos servicios de reputación porque en realidad obstaculizan su negocio. Una forma es hackear sitios con buena reputación y usarlos para la distribución de malware. Por ejemplo, el sitio web de Jamie Olivers fue pirateado varias veces en 2015 y se utilizó para difundir malware.

    
respondido por el Steffen Ullrich 23.10.2016 - 18:12
fuente

Lea otras preguntas en las etiquetas