Detectar visitantes web controlados por RDP o comprometidos por RAT / RAT-in-the-Browser (RitB)

1

¿Hay alguna forma de detectar si los visitantes de un sitio web están utilizando Conexión a Escritorio Remoto (RDP) o se han comprometido a través de un tipo de Trojan de Acceso Remoto (Herramienta) / RAT-in-the-Browser (RitB)? Por lo tanto, un tercero ha obtenido acceso a una PC y está usando esos recursos (como el navegador instalado) para navegar a un sitio web de destino.

Para que esto sea útil en una solución del mundo real, los métodos de prueba no deben ser intrusivos ni requieren que el cliente instale o permita complementos especiales (como Flash o ActiveX); por lo que debe ser compatible con la mayoría de los navegadores modernos. Por lo tanto, es probable que tenga que suceder en JavaScript, pero podría usar alguna asistencia del lado del servidor.

Sospecho que será necesario realizar varias pruebas para intentar crear una posible puntuación sobre si el usuario está utilizando una conexión remota en una PC para navegar por el sitio web de destino. También entiendo que es poco probable que exista una forma segura de identificar esto, pero espero que pueda usarse como datos de apoyo para construir una imagen general.

Algunas de las posibles pruebas que podrían realizarse:

  • Resolución : por lo general, la resolución es baja durante las conexiones remotas. Sin embargo, ¿alguna variable tendrá en cuenta la resolución de la conexión remota? ¿O solo usaría la resolución de la PC comprometida, lo que significa que esta es una prueba sin sentido?
  • Latencia del cursor del mouse : puede haber bastante latencia del cursor, o movimientos extraños, debido a la conexión remota. ¿Hay alguna forma de medir la latencia del cursor de manera significativa?
  • Biometría : potencialmente podría crear un perfil sobre cómo un usuario interactúa normalmente con un sitio web, y utilizarlo para determinar un comportamiento inusual. Sin embargo, solo se puede usar cuando el usuario se ha comprometido después de visitar el sitio web varias veces y puede ser un problema cuando hay varios usuarios que usan la misma PC.

¿Qué otros métodos / pruebas podrían usarse para construir una mejor imagen? ¿Alguno de los anteriores es útil para determinar este tipo de visitante web?

Entiendo que esto podría ser más teórico, pero espero que exista algún tipo de aplicación práctica que se pueda aplicar.

    
pregunta Praemon 11.07.2018 - 17:12
fuente

0 respuestas

Lea otras preguntas en las etiquetas