¿Se utilizan los sistemas virtuales "canarios" para detectar programas maliciosos?

1

Me preguntaba si los programas maliciosos se detectan utilizando un sistema virtual.

Por ejemplo, un sistema "canario" se configuraría en un entorno virtual y, a continuación, se ejecutarían programas desconocidos y no confiables, el funcionamiento del programa desconocido se analizaría en busca de signos de actividad maliciosa.

¿El entorno virtual podría estar protegido por una caja de arena para evitar la infección del sistema host? ¿Se utiliza este método y es práctico en la práctica? ¿Cuál es el nombre de este método? ¿Cuáles son algunos ejemplos de este método utilizado?

    
pregunta kyle k 09.10.2013 - 20:32
fuente

1 respuesta

4

El término coloquial para eso es honeypot . Un sistema honeypot debe ser atractivo para el atacante, pero por lo demás restringido para que no ayude al atacante en sus planes nefarios. Este es un balance bastante delicado. Por ejemplo, un honeypot para atrapar a los spammers debe lucir como si pudiera servir de retransmisión para toneladas de spam, pero preferiblemente no permitir que se envíe mucho spam (o cualquier otro).

Las máquinas virtuales son un método para hacer que varios sistemas compartan el mismo hardware y, sin embargo, estén (nominalmente) aislados unos de otros. El escape de la VM es normalmente imposible, a menos que el motor de la VM tenga un agujero de seguridad, y los motores de la VM tienen tienen agujeros de seguridad, por lo que alojar un honeypot en una VM es algo riesgoso. Es comprensible que, para un honeypot, desee algo barato (después de todo, no contribuirá mucho a su negocio), y una máquina virtual es generalmente más barata que un servidor físico. Pero es realmente más seguro usar una máquina física como honeypot, con una buena separación de red (cortafuegos explícitos, sin VLAN ...). Por otro lado, una máquina virtual puede ser instantánea, lo cual es muy conveniente para el análisis post mortem.

El punto principal de un honeypot es servir como plataforma de observación para aprender qué tipo de ataques están de moda. Las compañías que escriben sistemas de detección de botnets ejecutan honeypots para tener botnets para observar bajo condiciones controladas.

    
respondido por el Tom Leek 09.10.2013 - 20:42
fuente

Lea otras preguntas en las etiquetas