Browser come Honey-Pot, c'è?

2

Sto osservando tutto questo movimento attorno al progetto Metasploit, il gran numero di diversi plug-in di exploitation e migliaia di exploit pack. Ora, è la verità, chiunque potrebbe configurare il proprio buco nero nella rete. Inoltre, qualsiasi amministratore di qualsiasi servizio nella rete potrebbe attaccarmi solo per divertimento, mentre sto leggendo un articolo sulla sua pagina.

Lo so, c'è solo un'eccezione: il sistema aggiornato, il browser aggiornato, il javascript disabilitato per impostazione predefinita e senza alcun lettore flash. Tuttavia, posso vedere tale opzione, per verificare i miei servizi per fair-play. È Exploitable Browser ala Honey-Pot.

Allo stesso modo Metasploit raccoglie buchi in diversi browser, questo Honey-Browser potrebbe raccogliere buchi per mantenere un sistema di allerta. So che FireFox e Chromium sono Open-Source e sarebbero la base per tale Honey-Browser. Un tale sistema di allerta con tutti gli exploit conosciuti potrebbe rilevare qualsiasi attività Http / Https / Whatelse contro il mio browser come Network-IDS.

C'è qualcosa di cui sto parlando? Ad esempio, conosco il Mantra Security Framework . Esistono centinaia di plug-in di attacco o estensioni, ma nessuno da difendere.

Ad esempio,

  1. Come funziona un pacchetto di exploit? È un pacchetto di exploit e tutti gli exploit attaccano il browser sia che si tratti di IE, FF o Chrome, uno per uno, in sequenza.

  2. Una volta che uno qualsiasi degli exploit è stato rilevato dalla firma, la prossima parte della sessione potrebbe essere scritta in una sorta di sandbox per proteggere il browser.

Un tale plugin potrebbe essere una buona protezione per il browser.

    
posta anonymous 18.07.2015 - 07:11
fonte

3 risposte

1

Un honeypot non è un plugin che ti difenderà durante la navigazione. Per questo hai già a disposizione diversi plugin, ciascuno dedicato a far fronte a diversi tipi di attacchi (che si tratti di phishing, tracciamento, SSL / JavaScript / Flash correlati, ecc.).

Un honeypot al contrario è fatto per attirare e consentire agli attacchi di studiarli meglio. Il modo in cui potevo immaginare un simile sistema di browser honeypot sarebbe:

  1. Imposta una VM che imiterà un ambiente dell'utente finale ma usato solo per questo sistema honeypot (non vuoi rendere tutti i plugin ostili che scarichi per raggiungere i tuoi file reali, vero?)
  2. Scarica un elenco di URL ostili conosciuti (puoi trovare diversi su Internet, principalmente per scopi di filtraggio). Puoi lasciare che il tuo browser honeypot navigi sul Web casualmente o visitare i siti sames come te, ma le possibilità qui per catturare qualsiasi cosa nel tuo honeypot saranno molto basse,
  3. Utilizza un sistema di automazione del browser , ad esempio Selenium , ad esempio dedicato principalmente al mondo del controllo della qualità, ma dovrebbe funzionare per lavoro anche qui poiché il suo obiettivo è quello di emulare l'azione dell'utente sui browser reali.

In questo modo, dovresti essere in grado di costruire un sistema virtualizzato in cui il browser di major navigherà automaticamente ai peggiori URL del momento, contaminato da ogni singolo malware, consentendoti quindi di raccogliere e analizzare i dati raccolti a volontà (come creare un database per ulteriori rilevamenti poiché l'hai menzionato nella tua domanda).

Tuttavia, assicurati di controllare le buone pratiche dei vasi di miele (ci sono già diversi post sull'argomento qui intorno) poiché, ad esempio, non vuoi che il tuo vaso di miele funzioni come relè per contaminare il resto della tua rete interna , né vuoi che il tuo vaso di miele funzioni come relè per contaminare altri sistemi esterni o diventare un bot di qualsiasi tipo.

    
risposta data 18.07.2015 - 15:18
fonte
1

Esistono diverse implementazioni AFAIK, ma l'apertura è spesso limitata dal vantaggio competitivo (aziende AV, ad esempio). Microsoft ha pubblicato molti dei suoi progetti honeymonkey. Vedi link per ulteriori dettagli.

    
risposta data 19.07.2015 - 09:49
fonte
0

Se ho capito bene il titolo della tua domanda e se stai cercando materiale opensource:

I know, FireFox and Chromium are Open-Source and would be the base for such Honey-Browser.

quindi puoi usare, ad esempio, Thug che è un emulatore di browser scritto in Python interagisce automaticamente con il sito Web dannoso per controlla i suoi exploit.

Esistono anche altri strumenti equivalenti di Thug.

Si noti che gli attacchi ai browser vengono principalmente eseguiti utilizzando codice JavaScript malevolo che esegue in particolare attacchi di download drive-by . Una delle soluzioni che ho implementato per rilevare siti Web compromessi destinati a clienti / visitatori è basata su un honeypot che utilizza diverse macchine virtuali su cui sono in esecuzione diversi sistemi operativi e browser, senza antivirus intalled, e un programma che controlla lo stato di salute del sistemi operativi e browser durante e dopo la navigazione automatica di tutte le pagine di un dato URL.

    
risposta data 18.07.2015 - 08:06
fonte

Leggi altre domande sui tag