Медовая обезьяна - HoneyMonkey
 | Тема этой статьи может не соответствовать Википедии рекомендации по продуктам и услугам. (Август 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Медовая обезьяна, Короче для Система обнаружения эксплойтов Strider HoneyMonkey, это Microsoft Research горшок меда. Реализация использует сеть компьютеров для ползти то Всемирная паутина поиск веб-сайты это использование браузерные эксплойты установить вредоносное ПО на компьютере HoneyMonkey. Перед сканированием сайта создается снимок памяти, исполняемых файлов и реестра компьютера-приманки. После посещения сайта состояние памяти, исполняемых файлов и реестра записывается и сравнивается с предыдущим снимком. Изменения анализируются, чтобы определить, установил ли посещаемый сайт какое-либо вредоносное ПО на клиентский компьютер-приманку.[1][2]
HoneyMonkey основан на концепции приманки, с той разницей, что он активно ищет веб-сайты, которые пытаются ее использовать. Этот термин был придуман Microsoft Research в 2005 году. С помощью honeymonkeys можно найти открытые дыры в безопасности которые еще не известны широкой публике, но используются злоумышленниками.
Технологии
Один HoneyMonkey - это автоматизированная программа, которая пытается имитировать действия пользователя, просматривающего Интернет. Серия HoneyMonkeys работает на виртуальные машины Бег Windows XP, на различных уровнях исправления - некоторые полностью исправлены, некоторые полностью уязвимы, а другие находятся между этими двумя крайностями. Программа HoneyMonkey записывает каждое чтение или запись в файловой системе и реестре, таким образом ведя журнал того, какие данные были собраны веб-сайтом и какое программное обеспечение было им установлено. Как только программа покидает сайт, этот журнал анализируется, чтобы определить, было ли загружено какое-либо вредоносное ПО. В таких случаях журнал действий отправляется для дальнейшего ручного анализа программе внешнего контроллера, которая регистрирует данные эксплойта и перезапускает виртуальную машину, чтобы позволить ей сканировать другие сайты, начиная с известного незараженного состояния.
Запуск сканирования
Из более чем 10 миллиардов веб-страниц есть много законных сайтов, которые не используют уязвимости браузера, и начинать сканирование с большинства этих сайтов было бы пустой тратой ресурсов. Поэтому вручную был создан первоначальный список, в котором перечислены сайты, которые, как известно, используют уязвимости браузера для взлома посещаемых систем вредоносным ПО. Затем система HoneyMonkey переходит по ссылкам с сайтов с эксплойтами, так как они с большей вероятностью ведут на другие сайты с эксплойтами. Система HoneyMonkey также записывает, сколько ссылок ведет на сайт эксплойта, тем самым давая статистические данные о том, насколько легко попасть на сайт эксплойта.
Обнаружение эксплойтов
HoneyMonkey использует черный ящик система для обнаружения эксплойтов, т. е. не использует сигнатуру эксплойтов браузера для обнаружения эксплойтов. A Monkey Program, единственный экземпляр проекта HoneyMonkey, запускает Internet Explorer посетить сайт. Он также записывает все операции чтения или записи реестра и файлов. Обезьяна не допускает всплывающих окон и не позволяет устанавливать программное обеспечение. Следовательно, любое чтение или запись, происходящие из временной папки Internet Explorer, должны были использовать эксплойты браузера. Затем они анализируются программами обнаружения вредоносных программ, а затем анализируются вручную. Затем программа-обезьяна перезапускает виртуальную машину, чтобы сканировать другой сайт в новом состоянии.
Смотрите также
Рекомендации
- ^ Нарайн, Райан (19 мая 2005 г.). "Strider HoneyMonkey: Trawling for Windows Exploits". eWeek.
- ^ Лемос, Роберт (9 августа 2005 г.). «Мухи роятся вокруг MS Honeymonkey. Проект вынюхивает вредоносный код». Регистр Великобритании.