О вредоносных скриптах: как они работают, чем опасны и как не столкнуться с ними
dushanba, 18-yanvar, 2021
Сегодняшний выпуск посвящаем краткому экскурсу в мир вредоносных скриптов, разговору о том, как им противостоит Dr.Web, - и советам о том, как избежать встречи с ними.
Один из наших читателей в соцсетях задал вопрос о вредоносных скриптах и общей безопасности при работе в Интернете. В частности, он интересовался защитой от угроз на JavaScript и других скриптов, размещаемых злоумышленниками на веб-страницах, а также попросил дать несколько советов по правильной настройке веб-антивируса Dr.Web. Благодарим за актуальный вопрос – ведь это отличный повод разобраться, в чем же там дело!
Если рассказывать обо всех вредоносных скриптах, которые когда-либо видели специалисты нашей вирусной лаборатории, то статья по своему объему потянет на учебник и явно не впишется в формат «Антивирусной правды». Вы наверняка уже догадались, что это очень многообразный, а значит – распространенный тип вредоносных программ.
Что же такое вредоносный скрипт?
В широком смысле всякий скрипт – это программный код (сценарий), написанный на различных интерпретируемых языках. Все скрипты выполняются с помощью внешней программы – интерпретатора. В отличие от исполняемых файлов, скрипты в большинстве своем существуют в виде текстовых файлов и могут быть прочитаны человеком. Например, исходный код скомпилированного файла привести в первозданный вид почти невозможно, а скрипты, напротив, всегда содержат исходный код. По принципу работы «плохие» скрипты ничем не отличаются от «хороших».
Вредоносные скрипты можно условно разделить на два вида.
- Скрипты, которые встраиваются в код веб-страниц, интерпретируются браузером и выполняют действия, заложенные злоумышленниками.
- Скрипты, которые предназначены для запуска на компьютере пользователя. Они исполняются компонентами операционной системы и имеют доступ к API (файловая система, процессы и т. д.).
В контексте работы в Интернете под вредоносными скриптами чаще всего подразумевается первый вид. Такие сценарии как правило написаны на JavaScript и PHP. Они находятся в коде страниц недобросовестных или взломанных сайтов и пытаются майнить криптовалюту в браузере пользователя, отображают рекламу с целью накруток, перенаправляют на другие сайты, зачастую мошеннические и опасные. К веб-скриптам можно отнести и PHP-инфекторы, которые заражают «хорошие» скрипты на серверной стороне. Кроме того, вредоносный код может находиться в составе расширений для браузеров.
Теоретически скрипт веб-страницы может быть использован как эксплойт – набор ошибочно интерпретируемых браузером данных, позволяющий получить доступ к атакуемой системе. Однако в настоящее время такие эксплойты встречаются все реже в виду развития браузеров, которые ограничивают доступ к функциям ОС, поэтому вредоносный код на сайте едва ли может навредить компьютеру в целом. Но несмотря на это, упомянутых деструктивных функций вполне достаточно, чтобы сильно испортить жизнь любому пользователю. Реклама, мошенничество, фишинг, замедление работы браузера, даже сам взлом сайтов – это все про веб-скрипты. К тому же они кроссплатформенны и очень распространены, поскольку злоумышленники массово используют их для инфицирования страниц и веб-серверов.
Но опасность подстерегает не только на сайтах. Другим видом вредоносных скриптов являются сценарии, которые запускаются компонентами ОС. Они могут быть написаны на разных скриптовых языках: JScript, VBS, PowerShell, Perl, Python и многих других. Такие сценарии гораздо более функциональны и опасны, так как обращаются напрямую к API-объектам. Несмотря на то, что скрипты крайне редко содержат основную функциональность, они часто используются либо для начальной загрузки других вредоносных модулей в заражаемые системы, либо для промежуточных действий или вспомогательных операций. Например, в Windows часто встречаются PowerShell-скрипты, содержащие эксплойты или утилиты для продвижения по системе/сети. Хотя скрипты и считаются кроссплатформенным инструментом, некоторые из них работают только в предназначенных для этого ОС, так как для их работы важно наличие тех или иных системных API. Упомянутые PowerShell, а также BAT и JScript-сценарии работают в Windows, AppleScript предназначен для macOS, а ВПО для Linux часто представлено в виде bash-скриптов.
Системные скрипты для ОС чаще всего распространяются через электронную почту, раздаются на взломанных и вредоносных сайтах, загружаются другими программами, распространяются самостоятельно через съемные носители и сетевые ресурсы.
Добавим, что почти все вредоносные (и не только) скрипты тем или иным образом обфусцированы. Это значит, что для их детектирования часто приходится применять другие технологии, нежели традиционное сравнение по сигнатурам.
Для обезвреживания системных скриптов в Windows мы применяем алгоритмы машинного обучения, встроенные в основное антивирусное ядро. Такой подход позволяет успешно детектировать вредоносный код вне зависимости от его запутанности, что невозможно было бы сделать при помощи сигнатурного анализа.
Для блокировки веб-скриптов используется наш эвристический анализатор и веб-антивирус – SpIDer Gate. Отметим, что для эффективной защиты дополнительно настраивать какой-либо из компонентов Dr.Web не нужно, так как настройки по умолчанию соответствуют оптимальным.
Таким образом, сегодня мы узнали, что скрипты могут нести самую разную вредоносную нагрузку – являться эксплойтами, майнерами, различными вспомогательными утилитами, рекламными троянами и даже шифровальщиками. Чтобы обезопасить себя и свой компьютер, требуется использовать надежную защиту.
Антивирусная правДА! рекомендует
- Использовать продукт комплексной защиты Dr.Web Security Space, включающий технологии сигнатурного, эвристического и машинного анализа, контроль веб-трафика, анти-спам и регулярно обновляющиеся базы нерекомендуемых и опасных сайтов.
- Придерживаться настроек, рекомендованных разработчиком ПО, и не отключать отдельные компоненты антивирусной защиты.
- Не игнорировать предупреждения безопасности антивируса, браузера, поисковых систем и операционной системы.
- Регулярно обновлять ОС, антивирус и программы для работы в Интернете.
- Не устанавливать сомнительные расширения и надстройки для браузеров.
- Владельцам и администраторам сайтов: использовать сетевые экраны для веб-приложений, держать в актуальном состоянии CMS и серверное ПО, регулярно создавать резервные копии сайта.
#JavaScript #SpIDer_Gate #браузер #названия #нерекомендуемые_сайты #проверка_ссылок #технологии_Dr.Web
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
anatol
20:03:50 2021-02-15
slawik_3
08:18:00 2021-01-27
mbGod88
03:00:26 2021-01-26
SPARTAK
22:09:04 2021-01-21
achemolganskiy
12:30:01 2021-01-21
vlad02
08:18:20 2021-01-21
sss
19:11:44 2021-01-19
ixtiyor10
16:03:19 2021-01-19
SGES
06:47:03 2021-01-19
Неуёмный Обыватель
23:52:30 2021-01-18
Polyarnik
23:44:46 2021-01-18
Lia00
22:42:09 2021-01-18
Альфа
20:09:41 2021-01-18
orw_mikle
20:05:03 2021-01-18
Zserg
17:58:45 2021-01-18
L1t1um
17:55:38 2021-01-18
Dragstars
17:33:51 2021-01-18
Masha
17:26:30 2021-01-18
Татьяна
17:13:34 2021-01-18
Геральт
16:47:46 2021-01-18
Filip_s
15:13:16 2021-01-18
Денисенко Павел Андреевич
13:59:55 2021-01-18
Shogun
12:57:05 2021-01-18
vinnetou
12:17:28 2021-01-18
Jamal 6545
11:53:17 2021-01-18
GREEN
11:46:24 2021-01-18
DrKV
11:45:55 2021-01-18
Любитель пляжного футбола
11:09:33 2021-01-18
Alexander
10:51:40 2021-01-18
И кошке приятны,
А гадкие всякие
Только вредят...
Вот слово Script, -
С чем прибежит?
Раскрасит нам мир?
Иль нас огорчит?
Скрипт гусиным пером скрипит,
Шекспир сценарий свой строчит,
Там программист "дыру" латает,
Тут хакер что-то сочиняет.
А гадкий скрипт систему гнобит...
Что принесёт нам этот Script?
Какую мысль и для чего
В программном коде закрепит?
Что будет здесь после него?
Иль уж не будет ничего...
Кому ж дано всё это знать?!
Доктор Веб сорвёт печать!
Укажет он скриптам дорогу:
Вот с этим нам не по пути!
А этот, - можно исполнять...
P.S. Скрипты атакуют! Выпадают ядовитыми осадками. Закрывайте окна! Принимайте Dr.Web Security Space до и после, но лучше постоянно и вместо...
@GREEN, верно подмечено... Вот только люди в этом театре жизни - не только актёры, но и зрители, и реквизиты, и обслуживающий персонал... Скрипты и сюда затесались... Как же без них: и любовные записки, и поклёпы, и реплики подзуживающие... И даже срыв спектакля...
Lex
10:50:25 2021-01-18
Morpheus
09:57:25 2021-01-18
vkor
09:35:11 2021-01-18
Vlad X
09:30:30 2021-01-18
GREEN
09:22:11 2021-01-18
И скрипты в ней "играют" не последнюю роль ...
Пaвeл
08:45:12 2021-01-18
Slava90
08:38:31 2021-01-18
Пaвeл
08:37:08 2021-01-18
ka_s
07:34:11 2021-01-18
tigra
07:12:41 2021-01-18
Filip_s
06:14:17 2021-01-18
Korney
04:38:12 2021-01-18