Detectando tráfego malicioso em cabeçalhos HTTP (via @spookerlabs)

logo SecTORO pesquisador brasileiro da Trustwave Security, Rodrigo “Sp0oKeR” Montoro, falou na conferência de segurança SecTOR, em Toronto, sobre uma abordagem de “scoring” (marcação de pontos) para detectar tráfego potencialmente malicioso em cabeçalhos HTTP.

Montoro detalhou como marcar os cabeçalhos, com o intuito de identificar sites infectados. “O HTTP está em tudo, e os malwares estão usando muito desse tráfego HTTP. A ideia é que as pontuações funcionam e são um caminho mais simples [que a análise baseada em assinatura] para detectar malware“, disse o brasileiro. De acordo com ele, as conexões maliciosas tendem a ter um comportamento errado ou estranho com HTTP. Eles reutilizam código compartilhado e muitas vezes têm user-agents – um campo HTTP que geralmente identifica a aplicação e sistema em uso – incomuns, ou até nenhum user-agent.

O seu sistema de “pontuação funcionaria atribuindo um valor numérico para cada comportamento HTTP suspeito. Quanto maior a pontuação, mais chances de que aquele site esteja infectado com algum malware. Em testes preliminares feitos em sites já conhecidamente maliciosos, o sistema de Montoro foi capaz de detectar 89,1% dos sites corretamente.

Isso é só um começo, e não prova que funciona“, disse Montoro. “Mas, baseado nos resultados iniciais, acreditamos sim que vá funcionar“.