HoneyMonkey
HoneyMonkey (сокращённо от Strider HoneyMonkey Exploit Detection System) — это проект Microsoft Research, представляющий собой воронку-ловушку (honeypot). В рамках реализации HoneyMonkey используется сеть компьютеров, которые с помощью автоматического сканирования просматривают Всемирную паутину в поисках веб-сайтов, использующих эксплойты браузеров для заражения компьютера HoneyMonkey вредоносным программным обеспечением (вредоносным ПО). Перед посещением очередного сайта производится снимок памяти, исполняемых файлов и реестра исследуемого компьютера. После загрузки сайта состояние памяти, файлов и реестра сохраняется ещё раз и сравнивается с предыдущим снимком. Изменения анализируются для определения успешной установки вредоносного ПО на клиентский компьютер HoneyMonkey[1][2].
HoneyMonkey основан на принципе ловушки-воронки, но отличается тем, что активно ищет сайты, которые пытаются его атаковать. Термин англ. HoneyMonkey был введён подразделением Microsoft Research в 2005 году. Использование подобной технологии позволяет выявлять уязвимости, которые ещё не известны публично, но уже эксплуатируются злоумышленниками.
Технология
Один HoneyMonkey представляет собой автоматизированную программу, имитирующую действия пользователя, путешествующего по сети Интернет. Несколько HoneyMonkey запускаются на виртуальных машинах под управлением Windows XP, имеющих различные уровни обновлённости: некоторые полностью обновлены, другие полностью уязвимы, третьи занимают промежуточное положение. Программа HoneyMonkey фиксирует каждое чтение или запись файловой системы и реестра, сохраняя лог о том, какие данные были собраны веб-сайтом и какое программное обеспечение было установлено. После ухода с сайта лог анализируется с целью определения загрузки вредоносного ПО. В случае обнаружения вредоносной активности лог передаётся для дальнейшего ручного анализа внешней управляющей программе, которая фиксирует данные об эксплойте и перезапускает виртуальную машину, чтобы начать обход других сайтов в чистом состоянии.
Среди более чем десяти миллиардов веб-страниц существует множество легитимных сайтов, не использующих эксплойты браузеров, и начинать сканирование с них нецелесообразно с точки зрения расхода ресурсов. Поэтому изначально вручную составляется список сайтов, о которых известно, что они используют уязвимости браузера для заражения систем вредоносным ПО. После этого система HoneyMonkey следует по ссылкам с эксплойт-сайтов, так как вероятность перехода на другие эксплойт-сайты с них выше. Система также анализирует, сколько ссылок ведёт на тот или иной эксплойт-сайт, что позволяет статистически оценить, насколько легко до него добраться.
HoneyMonkey использует принцип «чёрного ящика» для обнаружения эксплойтов, то есть не использует сигнатуры известных эксплойтов браузеров. Экземпляр программы HoneyMonkey («Monkey Program») запускает Internet Explorer для посещения сайта, записывая все операции чтения и записи файлов и реестра. Программа не допускает всплывающих окон и установки ПО. Любая операция чтения/записи вне временной папки Internet Explorer должна быть следствием использования эксплойта браузера. Такие случаи анализируются специализированным ПО для поиска вредоносного кода, после чего требуют ручной проверки. Затем виртуальная машина перезагружается, чтобы следующим сканированием вновь осуществлялся в заведомо чистом состоянии.
Примечания
Литература
- Microsoft Demos 'HoneyMonkey' Project to Nab Browser Hackers (англ.). eWeek (4 мая 2005). Дата обращения: 18 июня 2024. Архивировано 22 января 2013 года.
- All Eyes on Microsoft's 'HoneyMonkey' (англ.). eWeek (12 августа 2005). Дата обращения: 18 июня 2024. Архивировано 22 января 2013 года.
- The "HoneyMonkey" Project: Automated Detection of and Response to Drive-by Downloads (англ.). Microsoft Research (2005). Дата обращения: 18 июня 2024.
Ссылки
- Выпуск Security Now! №2: "HoneyMonkeys"
- Honeyclient — открытый исходный клиент-ловушка, управляющий Internet Explorer по принципу HoneyMonkey (архив: https://archive.today/20130414232020/http://www.honeyclient.org/)
- HoneyC — низкоинтерактивный фреймворк клиент-ловушек (архив: https://web.archive.org/web/20091221154748/http://www.client-honeynet.org/)
- Официальная страница HoneyMonkey на сайте Microsoft Research