Esistono firme per codici JavaScript dannosi così come esistono per altri virus / worm / trojan sviluppati in altri linguaggi di programmazione?
In caso affermativo, queste firme malware JavaScript sono definite nello stesso modo in cui sono definite in altri "standard" malware?
Chiedo questo perché ho bisogno di scaricare alcune firme di noti malware JavaScript per un test innocuo sul mio script anti-malware come programmato in Python.
Ci sono sia firme dinamiche che statiche.
Le firme dinamiche sono utilizzate da strumenti di rilevamento dianmico basati sull'analisi dei comportamenti del malware JavaScript: qualunque sia la profondità e la complessità dell'offuscamento del codice di un determinato malware JS, l'impronta digitale e il livello di esecuzione sono gli stessi.
Esempi di tali strumenti che si basano sull'impronta digitale dell'esecuzione lato demoniaca del malware JS sono:
Esistono anche firme statiche di malware JS che vengono utilizzate dagli antivirus tradizionali. Si affidano al codice sorgente del JS malevolo (l'intero di esso o parte di esso) o all'analisi statistica di alcune funzioni JS sospette come eval() e unescape() .
Ci sono firme, ma queste non esistono in genere nei prodotti AV standard. Spesso, questi tipi di protezione si trovano in prodotti di sicurezza basati su rete come server proxy, IPS / IDS e firewall di applicazioni Web.
Queste firme non funzionano sugli hash come fanno le tipiche firme AV, ma piuttosto guardano all'euristica o al comportamento del codice stesso. Se lo scanner controlla una parte di codice e contiene una chiamata o una funzione sospetta, può attivare un rilevamento euristico. Questo è l'unico tipo di funzionalità che è possibile trovare in alcune "suite AV" di livello consumer come Norton's Internet Security o Total Protection di McAfee.
La maggior parte dei prodotti di sicurezza di rete di livello aziendale sarà anche in grado di eseguire analisi del codice su pagine Web richieste dagli utenti. I server proxy, ad esempio, analizzeranno il codice con lo stesso tipo di euristica menzionato sopra, ma eseguiranno anche ricerche inverse per alcune funzioni di codice. Ad esempio, il proxy può effettivamente eseguire un controllo della reputazione su uno specifico indirizzo IP che viene chiamato all'interno del codice JS.
Esiste una tecnologia sandboxing del malware che spesso è al di fuori del budget per qualcosa di meno di una grande impresa. È un mercato di nicchia attualmente di proprietà di FireEye, Mandiant e McAfee. Queste appliance sono collegate a punti di raccolta quali sensori IPS, proxy, filtri e-mail, WAF, ecc. E ricevono copie di dati che attraversano i confini della rete. Una volta che la tecnologia riceve i dati, li classifica e identifica i tipi di codice che sono normali per il tipo di dati (ad esempio Word, PDF, EXE, HTML, ecc.) E scompone il codice per identificare il codice sospetto. Questa parte è simile a ciò che l'AV per i consumatori fa con l'euristica. Inoltre, la tecnologia sandboxing del malware consentirà al file di essere eseguito o eseguito all'interno di un ambiente virtualizzato per vedere come reagisce. Registra tutte le connessioni di rete, le modifiche al registro, le chiamate ai file e le esecuzioni aggiuntive concatenate con le quali l'appliance stabilisce se i dati sono sicuri o meno. Questo stesso processo viene eseguito per molti tipi di dati, tra cui e-mail, richieste di siti Web, download di file, applet flash / java e altro.
Proprio come è nella sicurezza, non esiste un modo per identificare qualcosa di malevolo, ma piuttosto paragoni con ciò che è già noto per essere dannoso per prevedere il comportamento futuro.
Modifica
Per correggere la domanda, è necessario ottenere l'accesso ad alcuni repository di malware. Questi sono spesso accessibili tramite riferimento mentre altri sono accessibili a individui gentili che distribuiscono apertamente campioni trovati in natura. Ecco un elenco di repository fornito da Lenny Zeltser, noto ricercatore di malware e gestore di incidenti per SANS:
Leggi altre domande sui tag javascript malware