¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Malvados creadores de escenarios: scripts y protección contra los mismos

Consultas: 1862 Comentarios: 2 Ranking: 8

miércoles 26 de septiembre de 2018

¿Qué es un script y qué peculiaridades tiene? Vamos a abrir un archivo binario y otro de script para compararlos:

#drweb
#drweb

A la izquierda vemos Explorer que todos conocemos (el navegador de Windows), a la derecha hay un script descargado por el navegador al abrir alguna página. La diferencia es evidente. El archivo binario está listo para ser iniciado, en realidad, son códigos informáticos que solo el procesador de su equipo entiende. Es decir, para el funcionamiento del archivo binario normalmente no se necesita nada más, pero un script es otra cosa. No se ejecuta sin ayuda, lo ejecutan.

En otras palabras, un script es algo como un escenario (por ejemplo, de una película o de un espectáculo).

    ACTO I
    ESCENA 1
        Elsinor. Explanada delante del castillo.
    Francisco, de centinela en su puesto. Entra Bernardo, dirigiéndose a él.
                    Bernardo
    ¿Quién vive?
                    Francisco
    ¡No, conestádme a mí! ¡Alto y descubríos!

Un escenario es simplemente un texto. Para que haya función, se necesita un director y los actores.

Lo mismo se refiere a scripts. Es una descripción de acciones que deben ser ejecutadas. Para realizarlo, se necesita un interpretador, un programa especial que ejecuta el script.

Es interesante Hemos simplificado un poco la descripción del script. También hay scripts compilados etc., hay muchas opciones. Cabe destacar que en realidad es más fácil abrir un archivo para ver si es de texto. Es más complicado hacerlo con un programa externo.

  • Hay un archivo aleatorio. Es necesario crear un programa que determina si el archivo es de texto o binario. ¿Existe este algoritmo actualmente?
  • No se puede detectarlo enseguida, pero en un archivo de texto nunca habrá caracteres como #0 (valor cero del byte)

Fuente

¿Qué peligros supone un script?

El problema no radica en la amenaza como tal. Los cifradores pueden ser creados como archivos binarios y como scripts. Pero un archivo binario, primero, está bien comprimido, y, segundo, debe tener una estructura determinada. Por eso se puede detectarlo con la firma de forma bastante fácil y exacta.

Lo que pasa es que un archivo binario puede dejar de funcionar si intentamos modificarlo de forma aleatoria (por ejemplo, al insertar un par de espacios en el código). Pero los archivos nocivos de script no son tan simples.

#drweb

Fuente

¿Qué características tiene este código, qué puede ser usado como firma? Parece un código ordinario, no parece que haya algún problema.

Un script nocivo puede no contener ningún código nocivo como tal. Por ejemplo, se puede crear un cifrador solo al usar los medios del sistema operativo: tiene todos los programas necesarios, solo hay que abrirlos.

Hemos consultado la secuencia de comandos y hemos encontrado la respuesta para saber por qué el antivirus no reaccionó al funcionamiento del script.

Una vez iniciado el programa, se consulta el sitio web del malintencionado, desde su sitio web se descargan los programas para el cifrado – el software no nocivo para el cifrado PGP. El script inicia el cifrado de archivos.

En general, el antivirus no detecta nada nocivo en un algoritmo similar y considera estas acciones como acciones del usuario que decidió proteger sus documentos.

Fuente

Resumen: un virus de script o un troyano puede ser de amenaza porque

✔ Es complicado detectar la firma ✔ Es fácil modificar la firma ✔ Las acciones del software virus parecen acciones del usuario
Así mismo, la firma puede ser muy larga para ser auténtica. Hay servicios especiales que permiten a los malintencionados detectar la firma del archivo nocivo a la que reacciona el antivirus. Desde el punto de vista del sistema de control (el antivirus).

¿Por qué a los malintencionados les gustan los scripts?

Además de lo indicado más arriba, los scripts tienen otra ventaja: pueden ser ejecutados en varias plataformas, y los archivos binarios no. Porque son solo escenarios.

Los primeros ataques con un troyano que formó parte de la familia Linux.LuaBot, los expertos de Doctr Web los detectaron aún en diciembre del año 2016. Todos los representantes de la familia han sido creados en lenguaje de scripts Lua. El programa nocivo Linux. LuaBot es un conjunto de 31 escenarios Lua y dos módulos extra, cada uno de los cuales realiza su propia función.

El troyano es capaz de infectar los dispositivos con arquitecturas Intel x86 (y Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – en otras palabras, no solo los equipos, sino también varios routers, consolas de tele, almacenes de red, cámaras IP y otros dispositivos “inteligentes”.

https://news.drweb.com/show/?i=11304&lng=en

¿Hay software nocivo de script?

Sí, y bastante. Un ejemplo de una edición de noticias reciente de la empresa Doctor Web:

#drweb

JS.BtcMine
Una familia de scripts en lenguaje JavaScript, destinados para obtener la criptomoneda de forma no autorizada (mining).
JS.Inject
Una familia de scripts nocivos creados en lenguaje JavaScript. Incrustan el script nocivo en el código HTML de las páginas web.

Los scripts hoy día es el software nocivo más popular

Es interesante. Entre scripts no se detectan virus – los programas nocivos que infectan otros archivos. Pero hay muchos troyanos y gusanos. Por ejemplo, JS.Faceworm.1 – JavaScript– un gusano que se propaga a través de Facebook. Un ejemplo de troyano – Trojan.Encoder.4860, un troyano cifrador, también conocido como JS.Crypt y creado completamente en lenguaje JScript.

#scriptHeuristic #troyano #seguridad #script #tecnologías_Dr.Web #software_nocivo

El mundo de antivirus recomienda

¿Existe la protección contra scripts? Por supuesto.

#drweb

Más arriba hemos mencionado que al analizar el comportamiento del script uno puede equivocarse. Pero se puede prever su comportamiento, al usar las reglas creadas usando las tecnologías de inteligencia artificial. Esta posibilidad ha sido implementada en las soluciones de la empresa Doctor Web a partir de Dr.Web Security Space de versión 11.5 y Dr.Web Enterprise Security Suite 11.0.

Esta tecnología completó con éxito la tecnología ScriptHeuristic que previene la ejecución de cualquier script nocivo en navegadores y documentos PDF.

Tecnología ScriptHeuristic

  • Prevención de la ejecución de cualquier script nocivo en el navegador y en los documentos PDF sin dañar el funcionamiento de scripts legítimos.
  • Protección contra la infección con virus desconocidos a través del navegador web.
  • Funcionamiento compatible con cualquier navegador web, sin importar el estado de la base de virus Dr.Web.

https://products.drweb-av.es/technologies/

La protección contra escipts existe, solo hay que seleccionar un medio correcto para la misma.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios