Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Scénaristes malfaiteurs : scripts et comment s’en protéger ?

Lu par: 22474 Commentaires: 4 Cote de popularité: 9

jeudi 25 octobre 2018

Qu'est-ce qu'un scénario et quelles sont ses particularités ? Ouvrons, pour comparer, des fichiers binaires et des fichiers de script :

#drweb
#drweb

A gauche se trouve l'explorateur (Windows Explorer), à droite - un script téléchargé par le navigateur lors de l'ouverture d'une page web. La différence est évidente. Le fichier binaire est prêt à être lancé, c'est un code compris uniquement par le processeur de votre ordinateur. Ainsi, pour lancer un fichier binaire, rien d'autre n’est normalement requis, alors qu’il en va différemment pour les scripts. Les scripts ne s'exécutent pas eux-mêmes, ils doivent être exécutés.

En termes simples, le script ressemble à un scénario (tout comme au cinéma).

    Act I
    Scene 1
        Elsinore. A platform before the Castle.
    Bernardo. Who's there?
    Francisco. Nay, answer me. Stand and unfold yourself.
    Bernardo. Long live the King!
    Francisco. Bernardo ?
    Bernardo. He.
    (The Tragedy of Hamlet, Prince of Denmark)
    

Le scénario est un texte. Pour qu'il soit transformé en une action, il faut un réalisateur et des comédiens.

Il en va de même pour les scripts. Ce sont des descriptions d’actions à exécuter. Pour qu'un script soit exécuté, vous avez besoin d'un interpréteur, un programme spécialisé qui exécute le script

Nous avons simplifié ici la définition du script. Il existe des scripts compilés, ainsi que beaucoup d'autres variantes. Il est facile d'ouvrir un fichier manuellement pour voir s'il est écrit au format texte ou pas. C'est beaucoup plus compliqué avec un programme !

  • Considérons un fichier. Il convient d’écrire un programme pouvant déterminer si ce fichier est binaire ou s’il s’agit d’un fichier texte. Est-ce qu'un tel algorithme existe actuellement ?
  • Impossible de donner une réponse définitive, mais dans tous les cas, le fichier texte ne peut pas contenir de symboles comme par exemple #0 (une valeur d'octet égale à zéro).

Source

Quel est le danger du script ?

La question n'est pas le danger. Les ransomwares peuvent être créés sous forme de fichiers binaires ou sous forme de scripts. Mais premièrement, le fichier binaire est " bien emballé ", deuxièmement, il doit posséder une certaine structure. Par conséquent, il est assez facile de l'identifier d'une manière précise à l'aide de sa signature.

Un fichier binaire ne sera plus opérationnel si nous tentons de le modifier (par exemple, en ajoutant quelques espaces dans le code). La situation avec les scripts malveillants est plus compliquée.

#drweb

Source

Quels sont les traits caractéristiques de code pouvant être utilisés sous la forme d'une signature ?

Un script malveillant peut ne pas contenir de code malveillant. Par exemple, il est possible d'écrire un ransomware à chiffrement en utilisant uniquement les fonctionnalités de l'OS : tous les logiciels nécessaires sont présents, vous avez seulement à les lancer.

Nous avons lu l'ordre des commandes et avons tout de suite compris pourquoi l'antivirus n'a pas réagi au fonctionnement du script.

Une fois le programme lancé, il consulte le site des pirates depuis lequel des logiciels nécessaires au chiffrement sont téléchargés, il s'agit de logiciels inoffensifs dédiés au chiffrement PGP. Le script lance le cryptage des fichiers.

En fait, l'antivirus n'y voit rien de malveillant, car ces actions sont considérées comme des actions de l'utilisateur qui a décidé de protéger ses documents.

Source

Au final : un virus de script ou un Trojan représentent un danger car

✔ La signature est difficile à identifier ✔ La signature est facile à modifier ✔ Les actions des logiciels malveillants apparaissent comme les actions de l'utilisateur !
Dans le même temps, la signature peut s'avérer être trop longue pour devenir unique. Il existe des outils permettant aux attaquants de déterminer la signature du fichier malveillant à laquelle réagissent les antivirus. Du point de vue d'un système de surveillance externe (antivirus).

Pourquoi les criminels aiment-ils les scripts ?

En dehors de ce qui a été décrit, les scripts ont encore un avantage : Ils peuvent être exécutés sur différentes plateformes, les fichiers binaires ne le peuvent pas. Puisque ce n'est qu'un script.

Les premières attaques menées à l’aide du Trojan de la famille Linux.LuaBot ont été enregistrées par les analystes de Doctor Web en décembre 2016. Tous les malwares de cette catégorie ont été écrits en langage de script Lua.

Le malware Linux.LuaBot représente un ensemble de 31 scripts Lua et de deux modules supplémentaires exerçant chacun leur propre fonction.

Le Trojan est capable de contaminer les appareils ayant les architectures Intel x 86 (et Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SH4, SPARC, M68k. Il peut donc toucher également une large gamme de routeurs, consoles TV, stockages réseau, caméras IP et autres périphériques dits " intelligents ".

https://news.drweb.fr/show/?i=11304

Existe-t-il des logiciels malveillants sous la forme de scripts ?

Il y en a beaucoup. Voici un exemple signalé dans les news récentes de Doctor Web :

#drweb

JS.BtcMine
Scénarios en JavaScript conçus pour effectuer discrètement du mining.
JS.Inject
Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.

Aujourd'hui les scripts représentent les malwares les plus populaires !

C'est intéressant. Parmi les scripts, on ne détecte pas de virus - logiciels pouvant contaminer d'autres fichiers. En revanche, il existe de nombreux Trojans et vers. Par exemple, JS.Faceworm.1 est un ver JavaScript qui se propage via Facebook. Un exemple de Trojan - Trojan.Encoder.4860, ransomware connu également sous le nom de JS.Crypt et entièrement écrit en langage JScript.

Le projet Lumières sur la sécurité recommande

Y at-il une protection contre les scripts ? Bien sûr.

#drweb

Plus haut, nous avons dit que lors de l'analyse du comportement des scripts, il existe un risque de faire une erreur. Mais il est possible de prévoir son comportement, en utilisant des règles créées à l'aide des technologies de machine learning. Cette fonctionnalité est mise en place dans les solutions de Doctor Web à partir de Dr.Web Security Space en version 11.5 et Dr.Web Enterprise Security Suite 11.0.

Cette technologie est un bon complément de la technologie ScriptHeuristic qui empêche l'exécution de tous les scripts malveillants dans les navigateurs Web et les documents PDF.

Technologie ScriptHeuristic

  • La technologie ScriptHeuristic empêche l'exécution de tous les scripts malveillants dans les navigateurs et documents PDF sans toucher la fonctionnalité des scripts légitimes.
  • Protège contre la contamination par des virus inconnus via le navigateur web.
  • Fonctionne indépendamment de l'état de la base virale Dr.Web avec n'importe quel navigateur web.

https://products.drweb.fr/technologies

Une protection contre les scripts existe, il suffit de choisir un bon outil pour cela !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs