Client honeypot

08.10.2021

Активная система обнаружения опасных серверов (АСООС от англ. client honeypot) — это активные механизмы, которые сами ищут опасные ресурсы. То есть этот механизм должен посетить некоторый удалённый ресурс (или воспользоваться службой) и собрать о нём информацию, на основе которой можно заключить, является ли данный ресурс опасным. Таким образом, АСООС преследует цели обнаружить опасные сервера, либо найти новые способы взлома, используемые злоумышленниками. Пассивные системы называют СОВ.

В настоящее время используется ряд классификаций АСООС, основанных на разных признаках. Так, по уровню взаимодействия выделяют два класса: АСООС высокого и низкого уровня взаимодействия. Под уровнем взаимодействия здесь подразумевается количество функций доступных удалённому ресурсу, с которым и «общается» система. Иными словами, если реализация АСООС представляет собой реальную информационную систему (то есть реализует полный набор функций имитируемой системы и обладает всеми её свойствами), то её относят к классу высокого взаимодействия. Если же он только эмулирует некоторые функциональные возможности системы (то есть не обладает всеми свойствами реальной информационной системы и набором функций для взаимодействия), тогда его относят к классу низкого взаимодействия. Такие системы ещё называют виртуальными.

В общем случае система может посещать внешние ресурсы любого типа, в любой сети, как внешней, так и внутренней. Но наиболее остро стоит вопрос в посещении Интернет страниц браузером.

Программы низкого взаимодействия

  • HoneyC — разработан в Университете Виктории Веллингтона в 2006 году. Написан на языке Ruby. Опасные сервера засекаются за счёт статической проверки ответа веб-сервера на наличие опасной строки используя сигнатуры Snort. (Snort — одна из реализаций СОВ)
  • Monkey-Spider — разработан в Университете Манхейма. Использует решения антивирусов для обнаружения вредоносов. Проект был начат как тема диплома, сейчас ведётся развитие и дальнейшая разработка.
  • Spy-Bye — позволяет определить является ли веб-сайт опасным за счёт набора эвристических и сканирующих техник одного из антивирусов.

Программы высокого взаимодействия

  • WEF — разработан тремя студентами из Штутгарта в 2006. Может быть использован как активная сеть АСООС с полной виртуализацией архитектуры.
  • UW Spycrawler — разработан в Университете Вашингтона в 2005. Недоступен широким массам. Использует наблюдение за файлами, процессами, реестром и ходом работы браузера.
  • SHELIA — разработан в Университете Амстердама Врие. Присоединяется к почтовому агенту. Следит за исполнением кода в области данных в памяти, что может являться сработавшим эксплойтом переполнения буфера. Предотвращает срабатывание эксплойта.
  • HoneyMonkey — основан на IE, разработан Microsoft в 2005. Недоступен для широких масс.
  • HoneyClient — основан на IE и Firefox. Разработан в 2004 на языке Perl.
  • Capture-HPC — разработан в Университете Виктории Веллингтона. Поддерживает все крупные браузеры. Один из самых развитых АСООС на сегодняшний день.