Il controllo della reputazione di un URL è un buon approccio?

Naviga le tue risposte
1

Ho visto alcuni documenti come questo che menziona il controllo della reputazione dell'URL come un mezzo per rilevare il malware. Sento che questo è qualcosa che può essere facilmente sfruttato dagli hacker:

Quando un hacker progetta di creare un URL malevolo, prima renderà l'URL benigno e chiederà a servizi online come virustotal di controllarne la reputazione, ovviamente è tutto ok. Quindi ha cambiato il codice per l'app Web (ad esempio una pagina php) per essere dannoso.

Mi chiedo se questa possibilità renda il controllo della reputazione dell'URL meno utile.

    
posta packetie 23.10.2016 - 17:45
fonte

2 risposte

1

Il fatto che un cracker possa cambiare il contenuto della pagina in seguito non è un grosso problema. Virustotal (e molti altri) ti consentono di ripetere la scansione dell'URL anziché controllare il vecchio rapporto.

Il vero problema qui è come , non quando questi siti determinano se un sito / pagina è malevolo o meno:

  • È improbabile che la ricerca di firme di malware noto catturi malware sconosciuti.
  • Il server potrebbe essere cloaking e mostrare una versione pulita di se stesso allo scanner.
  • Analizzare il comportamento di una pagina non sarà d'aiuto, potrebbe rilevare che qualcosa non funziona o potrebbe richiedere qualche forma di input da parte dell'utente. O nel caso più estremo: potrebbe essere una bomba ad orologeria che sparirà solo un minuto dopo essere stata scansionata.

Gli scanner cattureranno solo l'influenza comune del WWW, non qualcosa che sia realmente intenzionale. Se qualcuno voleva essere felice, tutto quello che doveva fare era essere creativo e fare qualcosa a cui non si era pensato prima.

Se vuoi essere sicuro, posso consigliare alcuni browser che sono abbastanza sicuri: un client telnet (tuttavia ha un supporto TLS scarso) e GET da lwp-request .

    
risposta data 23.10.2016 - 18:16
fonte
3

Controllare la reputazione di un URL è un approccio utile, ma ovviamente non copre tutti i malware o gli URL di phishing. Il filtraggio basato su URL è molto veloce se confrontato con l'analisi del carico utile della risposta. Ciò consente un blocco precoce ed economico dell'accesso a potenziali risorse dannose e potrebbe quindi preservare più risorse per analisi più approfondite di siti ancora sconosciuti.

Di solito la reputazione non viene eseguita sulla base di un URL specifico ma sul sito, cioè se c'è una singola infezione da malware definita su questo sito, allora l'intero sito (oa volte anche l'indirizzo IP) ottiene una cattiva reputazione. Questo ha senso perché se l'autore dell'attacco riesce a far sì che un URL sul sito fornisca malware, è molto probabile che l'aggressore sia in grado di controllare più di questo URL.

Anche i servizi di reputazione non possono essere ingannati semplicemente permettendo a qualcuno come virustotal di controllare l'URL o persino l'intero sito. Invece, questi servizi di reputazione eseguono la scansione del Web autonomamente e ottengono anche l'input dell'utente o informazioni sui siti danneggiati dall'analisi dei messaggi di phishing o spam. Includono anche informazioni storiche sui domini, vale a dire quanti anni il dominio è, quanto spesso gli indirizzi IP sono cambiati in passato, ecc. Un servizio di reputazione ampiamente utilizzato è Navigazione sicura di Google, abilitata per impostazione predefinita in Chrome e Firefox.

Questo non significa che gli attaccanti non provano a aggirare questi servizi di reputazione perché in realtà ostacolano la loro attività. Un modo è quello di hackerare siti con una buona reputazione e usarli per la distribuzione di malware. Ad esempio il sito Web di Jamie Olivers è stato violato più volte nel 2015 e utilizzato per diffondere malware.

    
risposta data 23.10.2016 - 18:12
fonte

Leggi altre domande sui tag

Quanto è sicuro fornire informazioni riservate al cellulare? Cosa succede quando una vulnerabilità è stata aggiunta a un database? (CVE) [chiuso]