Hardening Javascript in relazione a Javascript Malware / Ransomware come Ransome32

2

Esistono metodi o standard per rafforzare le implementazioni di Javascript per ridurre / rimediare ai rischi associati ai malware Javascript come Ransom32 o altri tipi di attacchi Javascript ?

link

Le risposte alternative che possono essere utili includono qualsiasi buona guida su hardening di tutte le applicazioni che implementano javascript come browser o adobe reader che potrebbero essere rilevanti per mitigare il malware specifico di Javascript (Non in cerca di linee guida generali per hardening del browser a meno che non abbiano JavaScript specifico passaggi di riparazione).

Nota: lo chiedo nel contesto di come implementarlo per i desktop di un'organizzazione.

    
posta Trey Blalock 20.06.2016 - 19:00
fonte

2 risposte

3

La cosa più importante da considerare qui è che questo tipo di malware JavaScript non viene eseguito in un browser. Funziona in un runtime speciale chiamato NW.js che fornisce potenti API NodeJS non presenti in un browser.

Mentre NW.js condivide molte tecnologie con il browser Chromium, non è un browser ma un tipo di wrapper nativo per creare app desktop e questo tipo di malware non funzionerebbe in un browser tradizionale che non creerebbe mai le API necessarie per cose come l'accesso diretto al filesystem non richiesto. Pertanto, i browser (e presumibilmente Adobe Reader, anche con un track record non eccezionale) sono già immuni dal design.

D'altra parte, il vantaggio principale di NW.js è che rende queste potenti API disponibili per le applicazioni basate su JavaScript. Ciò significa che è possibile creare applicazioni desktop con funzionalità di applicazione desktop tradizionali. L'unico modo per limitare questa funzionalità sarebbe quello di eliminare questi vantaggi e invalidare completamente il wrapper.

In breve, questo non è un nuovo rischio per la sicurezza. L'esecuzione di qualsiasi applicazione desktop comporta lo stesso rischio, sia scritta in C ++, JavaScript, ecc. L'unica cosa nuova è che JavaScript si è evoluto per essere il linguaggio interpretato di scelta per molte cose nuove, ed è ora un linguaggio comune al di fuori di un browser.

Infatti, il tuo link dice che usa un file RAR autoestraente, il che significa che l'utente deve eseguire un file .exe . Quella .exe potrebbe essere qualsiasi cosa.

Da un lato, abbiamo già visto il malware JavaScript puro per Windows che indirizza Windows Script Host perché i file .js sono eseguibili su Windows di default (!). Normalmente questi sono solo usati per ignorare i filtri malware e scaricare più payload eseguibili quando vengono eseguiti.

    
risposta data 20.06.2016 - 19:36
fonte
2

Questo non è JavaScript che esce dal vm / sandbox di un browser, ma piuttosto un eseguibile che viene eseguito con i privilegi degli utenti locali completi che sono stati scritti in Javascript ...

Non c'è niente da indurire poiché le piattaforme di applicazioni Javascript locali come NW.js sono progettate per consentire esattamente questo e come tutte le altre piattaforme / framework che possono essere utilizzate sia per il bene che per il male.

Certamente, malware come questo sono più difficili da rilevare in quanto tutti i file binari sono legittimi e probabilmente firmati da fonti attendibili. Fortunatamente, molti software antivirus stanno eseguendo la scansione di tutti i file invece dei soli file esportabili, quindi probabilmente possono comunque capirlo.

    
risposta data 20.06.2016 - 19:37
fonte

Leggi altre domande sui tag