Скрипт Python для обнаружения веб -сайта или процедуры вредоносного ПО для обнаружения вредоносного ПО на веб -сайте?
https://stackoverflow.com/questions/9361455
-
28-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне очень любопытно узнать, как работают методы обнаружения вредоносных программ (например, Safebrowsing Google)? Гуглинг не помогает моему делу. Я нашел кое -что под названием Кукун которые делают такие вещи.
Как именно работает обнаружение вредоносных программ на веб -сайте? Что может быть алгоритм для этого? Какой алгоритм использует Google Safebrowsing и т. Д.?
Любой сценарий Python доступен?
Решение
Это интересная проблема, которая лучше всего обслуживается с использованием нескольких решений.
Google, вероятно, содержит список вредоносных доменов, посетите домен - попытался ли он обслуживать вам .exe без взаимодействия с пользователем? Кажется ли контент талочок? И другие подобные квантификаторы. - отметьте как злой. Посетите еще один домен, он перенаправил вас в тот, который в вашем списке, который является злонамеренным? Марк как неуверенный. Затем вы можете применить анализа машинного обучения/регрессии, чтобы повысить уверенность и уменьшить ложные срабатывания. Вы можете пойти дальше и провести легкое сканирование для некоторых доменов и глубокое сканирование для других областей (потому что глубокое сканирование может использовать что -то вроде кукушки, которая берет больше ресурсов). Является ли доменное имя разумным словом и соответствует ли оно информации о WHOIS? Или это тамки?
Другой подход состоит в том, чтобы сохранить список известных эксплойтов (свои имена и подпись кода) для уязвимостей в веб-браузерах и общих плагинах, а затем посмотрите, пытается ли веб-сайт обслуживать вам эксплойт, о котором вы знаете. Чтобы сгенерировать список известных эксплойтов, просто сканировать CVE или другую открытую базу данных и принести эксплойты, сделайте из них хэш и т. Д. Так ... так что это не пойдет не на все дерьмо, а большая часть.
Другие советы
По сути, что делают браузеры, это просто запросить огромную базу данных Google известных вредоносных программ для рассматриваемого URL/домена.
Как Google создает эту базу данных - это другая история. Они, вероятно, работают вместе с различными исследователями и антивирусными продуктами, чтобы обнаружить уже известные угрозы. Кроме того, они, вероятно, имеют некоторое автоматическое обнаружение «подозрительных» URL -адресов или содержимого документа (Flash, PDF, Java или браузерные триггеры, SheltCode, Цепи ROP, сценарии Hup Spray, ...). В конце концов, им уже приходится смотреть на все содержимое индексации, чтобы они могли легко выполнить относительно сложный анализ. Они также знают о URL -адресах, на которые указывает спам и фишинговые почты через их почтовую службу. Чего они, вероятно, не делают, так это ручной анализ вредоносных программ с использованием песочницы и тому подобное, это работа компаний по безопасности/антивирусу.
В целом, это довольно сложная задача. И нет, нет единого доступного сценария Python, который выполняет эту работу (хотя, если вы действительно заинтересованы в этом, вы обнаружите, что на самом деле есть много небольших вспомогательных сценариев, а также более сложные рамки, написанные на динамических языках, таких как Ruby или питон). Некоторые проекты, на которые вы могли бы посмотреть, чтобы начать (и которые на самом деле достаточно общие, чтобы быть очень полезными и для других задач):
- Иммунитет отладчик/Визуальный дукс: Для повторного инженерного вредоносного ПО.
- VirtualBox: Для запуска вредоносных программ в изолированной среде.
- Метазм: Для манипуляции с сборкой
- Вирешарк: Для просмотра сетевого трафика, вызванного вредоносным ПО.
- ...
