HoneyMonkey , короткий для Strider HoneyMonkey Exploit системы обнаружения , является Microsoft Research приманки . Реализация использует сеть компьютеров , чтобы ползать на World Wide Web поиска для сайтов , что использование уязвимостей браузера для установки вредоносных программ на HoneyMonkey компьютере. Перед сканированием сайта создается снимок памяти, исполняемых файлов и реестра компьютера-приманки. После посещения сайта состояние памяти, исполняемых файлов и реестра записывается и сравнивается с предыдущим снимком. Изменения анализируются, чтобы определить, установил ли посещаемый сайт какое-либо вредоносное ПО на клиентский компьютер-приманку. [1][2]
HoneyMonkey основан на концепции приманки с той разницей, что он активно ищет веб-сайты, которые пытаются его использовать. Этот термин был придуман Microsoft Research в 2005 году. С помощью honeymonkeys можно найти открытые дыры в безопасности , которые еще не известны широкой публике, но используются злоумышленниками.
Технология
Единственный HoneyMonkey - это автоматизированная программа, которая пытается имитировать действия пользователя, просматривающего сеть. Серия HoneyMonkeys запускается на виртуальных машинах под управлением Windows XP с различными уровнями исправлений - некоторые полностью исправлены, некоторые полностью уязвимы, а другие находятся между этими двумя крайностями. Программа HoneyMonkey записывает каждое чтение или запись файловой системы и реестра, таким образом ведя журнал того, какие данные были собраны веб-сайтом и какое программное обеспечение было им установлено. После того, как программа покидает сайт, этот журнал анализируется, чтобы определить, было ли загружено какое-либо вредоносное ПО. В таких случаях журнал действий отправляется для дальнейшего ручного анализа программе внешнего контроллера, которая регистрирует данные эксплойта и перезапускает виртуальную машину, чтобы позволить ей сканировать другие сайты, начиная с известного незараженного состояния.
Запуск сканирования
Из более чем 10 миллиардов веб-страниц есть много законных сайтов, которые не используют уязвимости браузера, и начинать сканирование с большинства этих сайтов было бы пустой тратой ресурсов. Поэтому был вручную создан первоначальный список, в котором перечислены сайты, которые, как известно, используют уязвимости браузера для компрометации посещаемых систем с помощью вредоносных программ. Затем система HoneyMonkey переходит по ссылкам с сайтов с эксплойтами, поскольку они с большей вероятностью ведут на другие сайты с эксплойтами. Система HoneyMonkey также записывает, сколько ссылок ведет на сайт эксплойта, тем самым давая статистические данные о том, насколько легко попасть на сайт эксплойта.
Обнаружение эксплойтов
HoneyMonkey использует систему черного ящика для обнаружения эксплойтов, т. Е. Он не использует сигнатуру эксплойтов браузера для обнаружения эксплойтов. Программа Monkey, единственный экземпляр проекта HoneyMonkey, запускает Internet Explorer для посещения сайта. Он также записывает все операции чтения и записи в реестр и файлы. Обезьяна не допускает всплывающих окон и не позволяет устанавливать программное обеспечение. Следовательно, любое чтение или запись, происходящие из временной папки Internet Explorer, должны были использовать эксплойты браузера. Затем они анализируются программами обнаружения вредоносных программ, а затем анализируются вручную. Затем программа-обезьяна перезапускает виртуальную машину, чтобы сканировать другой сайт в новом состоянии.
Смотрите также
Рекомендации
- ^ Naraine, Райан (19 мая 2005). "Strider HoneyMonkey: Trawling for Windows Exploits" . eWeek .
- ^ Лемос, Роберт (9 августа 2005 г.). «Мухи роятся вокруг MS Honeymonkey. Проект вынюхивает вредоносный код» . Регистр Великобритании .
- Статья MSR
- Технический документ MSR [ постоянная мертвая ссылка ]