Över 25% av den skadliga JavaScript-koden fördunklas av så kallade 'packers', en mjukvaruförpackningsmetod som har gett angripare ett sätt att undvika signaturbaserad upptäckt, enligt säkerhets- och innehållsleverantörsleverantören Akamai.
Packare arbetar genom att komprimera eller kryptera kod för att göra den koden oläslig och icke-felsökbar-vilket resulterar i en “dold” kod som är svår att upptäcka antivirus.
JavaScript -packare är inte ett nytt hot. Som Secureworks noterade redan 2008, blev JavaScript -packare ett populärt alternativ till JavaScript -bibliotek eftersom de var bra på att minska antalet byte som laddades ner på varje sida för att stödja tidens rikare webbapplikationer.
SE: Denna nya ransomware krypterar dina data och utgör några otäcka hot också
“Datorhackare har utnyttjat acceptansen av dessa packare som en suboptimal nätverksoptimeringstaktik och använder dem som ett sätt att undvika och kringgå säkerhetskontroller på gatewayen och på värden, “noterade SecureWorks då.
Akamai noterar att några av världens mest populära webbplatser innehåller dunkelt JavaScript av affärsmässiga skäl.
Företaget framhåller att packare fortfarande är ett storskaligt problem, vilket hjälper till att sprida phishing -sidor, malware -droppare och bedrägerier som Magecart -attacker mot online -betalningssystem. Vid SecTor 2021 -konferensen i november kommer forskare att presentera en ny “teknik som profilerar packarnas unika funktionalitet för att upptäcka JavaScript innan det fördunklas, oavsett ursprungskoden.”
Istället för en signatur eller hash upptäcks JavaScript -koden med de tekniker paketet introducerar, enligt Akamai.
För att visa hur det profilerar paketare tittade Akamai på fyra bitar av JavaScript -kod från fyra orelaterade skadliga filer. Två av utdragen var för nätfiske, en var en malware -dropper och den fjärde en Magecart -svindlare.
SE: Så här bekämpar Formel 1 -lag cyberattacker
“Dessa fyra exempel är resultatet av samma unika paketfunktionalitet som används för att dölja en given JavaScript -kod, “förklarar Akamai.
“Genom att profilera packare och deras funktionalitet utvärderade vi 30 000 godartade och skadliga JavaScript -filer och kunde se att minst 25% av de skadliga filerna använde en av fem profilerade packarfunktioner.”
Forskningen fann också att 0,5% av godartade filer från de 20 000 högst rankade webbplatserna på Alexa.com använde packare obfuscation-tekniker. Akamai hävdar då att skymning inte är en tillräckligt stark signal för skadlig kod och föreslår att detektering kommer att kräva maskininlärning för att skilja mellan skadlig och godartad förvirrad JavaScript -kod.
Säkerhet
När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott som orsakats av DDoS-attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Säkerhets-TV-datahantering CXO-datacenter 