Pakowanie szkodliwego kodu – to kolejna metoda pozwalająca hakerom maskować swoją aktywność

Oto kolejny przykład tego, do jak wyszukanych metod uciekają się hakerzy, po to aby skutecznie atakować systemy IT, uniemożliwiając swej ofierze możliwość wczesnego wykrycia ich poczynań. Jak donosi firma Akamai, obecnie już blisko jedna czwarta szkodliwego kodu JavaCsript jest maskowana przez narzędzia, które w odpowiedni sposób opakowują go, tak aby był trudny do wykrycia.

Grafika: Florian Olivo/Unsplash

Programy pakujące bazują na technologiach, które kompresują lub szyfrują kod, tak iż przybiera on postać tzw. „ciemnego” kodu, co czyni go nieczytelnym i trudnym lub wręcz niemożliwym do debugowania czy wykrywania przez systemy analizujące sygnatury. W takich sytuacjach nawet najlepszy antywirus nie jest w stanie stwierdzić, że ma do czynienia z malwarem.

Programy pakujące kod JavaScript nie są nowym zagrożeniem, gdyż pojawiły się już 15 lat temu. Były jednak używane do wykonywania standardowych operacji (stanowiąc np. alternatywę dla klasycznych bibliotek JavaScrip), a nie do ukrywania przed kimkolwiek rzeczywistych operacji, jakie zostały im zlecone do wykonania.

Zobacz również:

  • Malware Chinotto atakuje urządzenia Windows i Android
  • Tak Microsoft walczy z przeglądarką Chrome
  • Zakodowane dane też mają dla hakerów swoją wartość

Dopiero ostatnio hakerzy zaczęli wykorzystywać to narzędzie do swoich niecnych celów. Zapakowany szkodliwy kod może bowiem ominąć system, który zapewnia danemu środowisku obliczeniowemu bezpieczeństwo. Akamai zwraca też uwagę na to, że narzędzia pakując kod są obecnie wykorzystywane również do celów czysto biznesowych. Robi to np. wiele popularnych witryn. Zawiera zaciemniony kod JavaScript wyłącznie po to, aby nie można go było łatwo odczytać.

Programy pakujące kod stały się ostatnio poważnym problemem, ponieważ pomagają hakerom dystrybuować phishingowe strony i dokonywać różnego rodzaju cyfrowych oszust. Metody obrony przed tego typu narzędziami są też udoskonalane. I tak np. na tegorocznej, zapowiedzianej na listopad konferencji SecTor 2021, informatycy mają zaprezentować zupełnie nową technikę.

Rozpoznaje ona w nowatorski sposób unikalną funkcjonalność programów pakujących kod JavaScript, dzięki czemu może odczytywać jego oryginalną postać, zanim został opakowany. W takim scenariuszu technika ta wykrywa kod JavaScript nie poprzez analizowanie sygnatur, ale stosując te same metody, których używa program pakujący.

Akamai zwraca przy ty uwagę na fakt, że samo zaciemnienie kodu nie świadczy o tym, że jest on złośliwy. Dlatego aby odróżnić złośliwy, zaciemniony kod, od łagodnego, również zaciemnionego kodu, kolejne generacje narzędzi wykrywających tego rodzaju oszustwa, będą musiały korzystać technologii maszynowego uczenia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200