05.12.2018, 11:39
Pojawiło się gdzie indziej, więc wrzucam, bo warto...to opis mechanizmu testowania opisany przez Adrian, który został mocno skrytykowany ze względu głównie na słaby wynik uBO
Cytat: Wytłumaczę to step by step.
1. Do honeypota trafia atak zawierający URL np.[Aby zobaczyć linki, zarejestruj się tutaj]
.
2. Wszystkie IoC są zapisywane w naszej bazie danych wirusów (wirusów jako plików, oraz adresów URL i adresów IP).
3. Przed testem wirus xxx.exe trafia do maszyny takiej samej jak z zainstalowanymi produktami ochronnymi, ale bez ochrony. Sprawdzamy, czy wirus jest w stanie zainfekować Windows 10. Jeśli tak, to.
4. Uruchamiamy wszystkie maszyny z produktami AV.
5. Po uruchomieniu we wszystkich maszynach w jednym czasie uruchamiana jest przegladarka chrome.exe[Aby zobaczyć linki, zarejestruj się tutaj]
. Otwiera się strona i pobierany jest plik.
6. Następnie obserwujemy co dzieje się z plikiem w systemie przed uruchomieniem i po uruchomieniu (w zależności, czy AV to zablokuje, czy nie). To zależy od rodzaju testu.
7. Z zebranych logów skrypt szuka informacji, czy Windows 10 został zainfekowany lub czy AV zablokował wirusa xxx.exe.
8. Informacje zapisywane są w osobnej bazie.
Tak więc malware nie jest pobierane z "mojej" strony, tylko z rzeczywistego złośliwego adresu WWW.
Mówiąc "obserwujemy", czy "sprawdzamy", mam na myśli to, że całą procedurą testów zajmują się algorytmy. Jest to w całości zautomatyzowane. Może kiedyś nagram wideo, w jaki sposób działa to wszystko od strony backendu.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"