Lumières sur la sécurité

jeudi 8 avril 2021

Cette publication est dédiée aux scripts malveillants et explique comment Dr.Web les traite, nous allons également proposer quelques conseils qui vous aideront à les éviter.

Dans un réseau social, un de nos lecteurs a posé une question sur les scripts malveillants et les mesures de sécurité à prendre lors de la navigation sur le web. Entre autres, il s'est intéressé à la protection contre les menaces écrites en JavaScript et contre d'autres scripts insérés par les pirates dans des pages web, il nous a également demandé de lui donner quelques conseils sur la configuration de l'antivirus web Dr.Web. Nous le remercions pour sa question, car c'est une excellente occasion d'examiner ce sujet.

Si l’on décrivait tous les types de scripts malveillants que les experts de notre Laboratoire ont pu voir, le volume de notre publication serait égal à celui d'un manuel et l'article ne rentrerait pas dans le format des publications du projet Lumières sur la sécurité. Vous avez probablement déjà deviné qu'il s'agit de malwares très variés et très répandus.

Qu'est-ce un script malveillant ?

Dans un sens large, chaque script est un code (scénario), écrit en différents langages interprétés. Tous les scripts sont exécutés à l'aide d'un programme externe, que l’on peut nommer un « interpréteur ». Contrairement aux fichiers exécutables, la majorité des scripts existent sous forme de fichiers texte et ils peuvent être lus par une personne. Par exemple, il est presque impossible de récupérer le code source d'un fichier compilé, tandis que les scripts contiennent toujours leur code source. Pour ce qui est de leur principe de fonctionnement, les scripts « mauvais » ne sont pas différents des « bons ».

Les scripts malveillants peuvent être divisés en deux types.

1. Les scripts qui sont intégrés dans le code des pages web sont interprétés par le navigateur et exécutent des actions définies par les pirates.
2. Les scripts qui sont conçus pour fonctionner sur l'ordinateur de l'utilisateur. Ils sont exécutés par les composants du système d'exploitation, et ils ont accès aux objets API (système de fichiers, processus etc.).

Dans le contexte de surf sur Internet, le premier type de scripts est considéré comme script malveillant. Ces scripts sont généralement écrits en JavaScript et PHP. Ils sont présents dans le code des pages de différents sites Web piratés ou frauduleux et tentent de miner des cryptomonnaies via le navigateur web de l'utilisateur ou bien ils affichent des publicités pour gonfler les compteurs de visites, souvent, ils redirigent les internautes vers d'autres sites frauduleux ou dangereux. Les infecteurs PHP appartiennent aux scripts web et sont conçus pour contaminer des scripts " sains " du côté serveur. De plus, un code malveillant peut se trouver dans des extensions pour les navigateurs web.

En théorie, le script d'une page Web peut être utilisé comme un exploit - un ensemble de données interprété de façon incorrecte par le navigateur, qui permet d'accéder au système cible. À l'heure actuelle, cependant, ces exploits sont de plus en plus rares grâce au développement des navigateurs, qui limitent l'accès aux fonctions du système d'exploitation, évitant qu’un code malveillant se trouvant sur un site web ne nuise à l'ordinateur en général. Mais malgré cela, les fonctions destructrices mentionnées suffisent pour entraver la vie de l'utilisateur. Les publicités, la fraude, le phishing, le ralentissement du navigateur, voir le piratage de sites - tout cela est lié à l'activité des scripts web. De plus, ces scripts ne dépendent pas des plateformes et sont très répandus, car les pirates les utilisent largement pour contaminer des pages et des serveurs web.

Mais le danger peut se cacher ailleurs également. Un autre type de scripts malveillants sont des scripts lancés par les composants du système d'exploitation. Ils peuvent être écrits dans différents langages de script : JScript, VBS, PowerShell, Perl, Python, et bien d'autres. De tels scénarios sont beaucoup plus fonctionnels et dangereux car ils s'adressent directement aux objets API. Malgré le fait que les scripts comportent très souvent une fonctionnalité principale, ils sont souvent utilisés pour un téléchargement initial d'autres modules malveillants dans les OS contaminés ainsi que pour des opérations supplémentaires ou intermédiaires. Par exemple, dans Windows, on trouve souvent des scripts PowerShell contenant des exploits ou bien des utilitaires qui utilisent la technique dite " mouvement latéral " dans un système / réseau. Bien que considérés comme des outils multi-plateformes, certains scripts fonctionnent uniquement dans certains OS car, pour leur fonctionnement, ils ont besoin d'API particulières. Les scénarios PowerShell, ainsi que BAT et JScript fonctionnent sous Windows, AppleScript est destiné pour macOS, tandis que les logiciels malveillants ciblant Linux sont souvent représentés par des scripts bash.

Les scripts système pour les systèmes d'exploitation sont le plus souvent diffusés par e-mail, ou bien via des sites piratés ou malveillants, ils peuvent également être téléchargés par d'autres programmes ou être propagés via des médias amovibles ou via des ressources réseau.

Nous pouvons ajouter que presque tous les scripts malveillants sont obscurcis d'une manière ou d'une autre. Cela signifie que leur détection nécessite souvent d'utiliser d'autres technologies que la comparaison traditionnelle des signatures.

Pour neutraliser les scripts sous Windows, nous utilisons des algorithmes d'apprentissage automatique intégrés dans le moteur antivirus. Cette approche nous permet de détecter avec succès le code malveillant quel que soit son niveau d'obfuscation, ce qui ne pouvait pas être possible avec une analyse des signatures.

Pour bloquer les scripts web, nous utilisons notre moteur d'analyse heuristique et l'antivirus Web - SpIDer Gate. Il est à noter qu'aucun paramétrage supplémentaire des composants Dr.Web n'est requis pour avoir une protection efficace, tous les paramètres sont configurés de manière optimale par défaut.

Ainsi, nous avons appris aujourd'hui que les scripts peuvent représenter différentes charge malveillante, ils peuvent être exploits, miners, divers utilitaires, Trojans publicitaires, voir ransomwares à chiffrement. Pour vous protéger et protéger votre ordinateur, utilisez une protection fiable.