Распространение зловредов средствами HTML5

Александр Панасенко 16 Июля 2015 - 20:33

...

Группа итальянских исследователей предложила три новые техники обфускации, способные обмануть антивирусные сканеры и успешно распространять вредоносные программы методом drive-by. Техники основаны на новых стандартах HTML5, объясняют авторы научной работы.

По их мнению, увеличение количества малвари в Сети объясняется именно внедрением новых веб-технологий.

Для обфускации используются некоторые программные интерфейсы HTML5, хотя принципиальная схема drive-by остается прежней. На предварительном этапе происходит шифрование зловреда и его размещение на сервере. Как только жертва загружает зараженную страницу, то одновременно скачивает вредоносную программу, которая дешифруется и запускается на исполнение, пишет xakep.ru.

Из двух указанных этапов первый остается без изменений. Как и раньше, следует найти подходящий «дырявый» сервер и сделать инъекцию кода.

Второй этап гораздо интереснее. Для доставки зловреда и дешифровки применяются программные интерфейсы HTML5. Именно это позволяет остаться незамеченным для антивирусов, которым пока незнакомы подобные методы.

В научной работе исследователи описывают три инновационных метода обмана антивирусов. Дело в том, что многие антивирусные системы отслеживают стандартные процедуры декодирования или деобфускации. Есть несколько способов избежать обнаружения.

Делегированная подготовка (Delegated Preparation): зловред разбивается на фрагменты в «базе данных», а деобфускация перекладывается на браузер с помощью Web-SQL API или IndexeDB API.
Распределенная подготовка (Distributed Preparation): обычно процедуры деобфускации выглядят безобидно по отдельности, но подозрительно все вместе. Это их свойство используется при распределенной деобфускации, когда зловред разбивается на фрагменты, и они расшифровываются в разных контекстах.
Деобфускация пользователем (User-driven Preparation): разновидность распределенной подготовки, когда расшифровка и исполнение программы размазаны по времени, которое пользователь проводит на зараженной веб-странице. Для внесения элемента случайности действия зловреда инициируются непосредственно действиями пользователя, не подозревающим об этом.

Эксперимент показал, что такая тактика позволяет обмануть большинство систем обнаружения и антивирусных сканеров.

Исследователи призывают разработчиков защитных систем модернизировать свои программы с учетом возможностей HTML5.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 01 Декабря 2025 - 17:19

Android Трояны Шпионские программы Программы слежения Соответствие законодательству РФ Домашние пользователи Государство

Студенту краснодарского вуза вменяют авторство Android-трояна ClayRat

Усилиями российской киберполиции задержан учащийся Краснодарского кооперативного института, будущий специалист по ИС и программированию, который подозревается в создании самоходного Android-шпиона ClayRat.

Подобные дела обычно рассматриваются судами России в рамках статьи 273 УК РФ — создание, использование и распространение вредоносных программ (до семи лет лишения свободы).

Объявившийся минувшим летом в рунете Android-троян ClayRat распространяется через Telegram и поддельные сайты под видом популярных приложений. Доступ к вредоносу платный, клиентам предоставляется персональная панель управления, размещенная в специально созданном домене.

По данным кировских киберкопов, разработчик мобильного зловреда с этой целью суммарно зарегистрировал более 140 доменных имен.

Оперативно-разыскные мероприятия еще не закончены, полиция пытается выявить соучастников и другие эпизоды противоправной деятельности.