Come viene eseguito il malware scaricato da JavaScript e perché dovresti distribuire il malware in un file .js?

Naviga le tue risposte
1

Ho due domande su JavaScript come vettore di infezione. Il primo riguarda l'infezione da un utente mentre si visita un sito Web e il secondo riguarda l'infezione tramite posta elettronica tramite allegato.

1) Anche se il malware viene scaricato correttamente dall'utente, non dovrebbe comunque eseguirlo da solo per infettare il suo sistema?

Sto parlando di un caso in cui non vengono utilizzati buchi di sicurezza in plugin come Flash o Java. L'utente dovrebbe nel migliore dei casi avere un file binario nella sua cartella dei download, forse senza nemmeno sapere che è lì. Allora cosa?

2) In email dannose, perché dovresti inviare un file .js come allegato che scaricherà il malware anziché il malware stesso direttamente?

Ho persino letto sui file JS negli archivi zip. Perché? La maggior parte delle persone analfabete della tecnologia non saprebbero come decomprimere un file e quindi provare ad aprire il documento.

    
posta delgan 15.07.2016 - 21:00
fonte

1 risposta

4

Even if the malware is successfully downloaded by the user, wouldn't he still have to execute it himself to infect his system ?

Nel caso in cui non è stato utilizzato alcun exploit, il malware deve essere scaricato ed eseguito esplicitamente dall'utente. Questo di solito viene fatto tramite social engineering, vale a dire dichiarare il software come un aggiornamento software o plug-in necessario per visualizzare alcuni contenuti illegali, come un antivirus necessario per risolvere un problema immediato (scareware) o il malware viene semplicemente raggruppato con alcuni software che l'utente ama utilizzare.

In malicious emails, why would you send a .js file as attachment that'll download the malware rather than the malware itself directly ?

L'attuale ondata di malware nelle mail usa .js (o meno spesso .vbs e .wsf) in un archivio (principalmente .zip). Se il file viene estratto dall'archivio ed eseguito, non verrà eseguito dal browser ma dal Windows Scripting Host (WSH). WSH non ha le restrizioni e le misure di sicurezza del browser, il che significa che il programma WSH può scaricare il file e immediatamente eseguirlo senza la necessità di un'interazione manuale da parte dell'utente.

Avere un .js è più innocente di un file .exe o .com come allegato e la probabilità che venga bloccato dall'antivirus è minore. E di solito i file .js sono pesantemente offuscati ed è impossibile dichiarare una firma fissa per il file o anche avere un'esecuzione affidabile all'interno di una sandbox. Inoltre, il file eseguibile viene spesso servito dal server Web con un tipo di contenuto innocente (ad esempio, afferma di essere nell'immagine) in modo che non venga scansionato dal firewall.

    
risposta data 15.07.2016 - 21:14
fonte

Leggi altre domande sui tag

In quali fasi consiste un test di penetrazione della rete? Come posso generare un elenco di tutte le password che si applicano a una regola specifica?