Проверьте, не заражен ли сайт с помощью urlQuery

Обновление операционной системы, браузера и всех подключаемых модулей, которые вы используете при работе в сети (например, Flash Player, Java, Adobe Reader, QuickTime и т. д.), является одним из основных шагов, позволяющих избежать риска. Злоумышленники используются для нацеливания на известные уязвимости в веб-браузерах и плагинах для выполнения вредоносного кода в системе пользователя.

В Сети доступно несколько наборов эксплойтов, которые обычно используются киберпреступниками. Вредоносный код, лежащий в основе функционирования этих пакетов, загружается, начиная с части «запутанного» кода JavaScript, и вставляется в искусно подготовленные веб-страницы или после успешной атаки загружается на страницы, составляющие известные веб-сайты. Иногда «запутанный» код JavaScript может быть загружен в некоторые рекламные схемы, которые выполняют более поверхностный контроль над материалами, размещаемыми рекламодателями.

Что означает «запутанный» код JavaScript

Обычно, когда вы посещаете любую веб-страницу с помощью браузера, вы также можете просмотреть исходный код HTML. Обычно HTML-код сразу понятен и его структуру легко проверить (для доступа к HTML-источнику любой страницы можно использовать комбинацию клавиш CTRL+U).

Когда злоумышленнику (даже с помощью автоматизированной процедуры) удается каким-либо образом заразить веб-сайт (например, используя уязвимости в операционной системе, установленной на сервере, в используемом серверном программном обеспечении, бреши в настройке разрешений пользователей, атаки например, «инъекция SQL»), часто пытается вставить в страницы дополнительный HTML-код.

Тенденция уже не та, что из «портить«полностью веб-сайт; вместо этого злоумышленники предпочитают незаметно добавлять вредоносный код.

Этот тип атаки обычно проводится против установленных веб-сайтов, которые ежедневно посещают тысячи людей.

Таким образом, вставляя вредоносный код на страницы сайта, которые посетители считают заслуживающими доверия, злоумышленник может гораздо легче распространить инфекцию на клиентские системы пользователей.

Тенденция также заключается в добавлении кода в «скрытом» виде: цель состоит в том, чтобы убедиться, что у администратора сайта сразу не возникнут подозрения, а защитное ПО не начнет сразу «кричать».

Практика «обфускации» берет свое начало в том факте, что любой интернет-адрес, представленный в виде ссылки на веб-страницах, может быть представлен несколькими различными способами («экранирование» или «кодирование uri»).

Единственный символ «.» Таким образом, (точка) может быть выражена в шестнадцатеричном представлении «2E» с префиксом символа процента (%).

Как легко понять, этой возможностью часто пользуются злоумышленники, желающие скрыть тексты или адреса.

Если мы объединим использование альтернативных представлений с использованием Javascript, то злоумышленник получит мощное средство для сокрытия своего вредоносного кода.

Фактически, прибегая к использованию JavaScript, можно скрыть весь документ внутри скрипта, включая теги или даже другие коды JavaScript.

Расшифровав скрипт, часто можно заметить, что злоумышленник обычно пытается использовать некоторые внутренние уязвимости в системах Windows, браузерах, подключаемых модулях Java, Flash, QuickTime и т. д. Как правило, все уязвимости в системе безопасности, на которые нацелены программы, ранее устранялись путем выпуска корректирующих обновлений соответствующими производителями.

Попутно добавим, что для быстрой проверки того, какой деобфусцированный код загружается браузером вместе с веб-страницей, после выявления «вредоносного» JavaScript-скрипта достаточно заменить все операторы eval и document.write на alert . Функция JavaScript eval() на самом деле заботится об оценке строки и, возможно, ее выполнении, если это настоящий код. При замене на alert вредоносный код будет отображаться «в открытом виде», в виде диалогового окна, но выполняться не будет.

Наборы эксплойтов, о которых мы упоминали ранее, обычно позволяют загружать запутанный код JavaScript на любой веб-странице. Этот код после обработки браузером запускает серию проверок, направленных на установление точной конфигурации программного обеспечения, используемого пользователем.

Если будет обнаружено использование устаревшей версии браузера или подключаемых модулей, набор эксплойтов автоматически нацелится на уязвимость, присутствующую в конкретной версии программного обеспечения, используемого пользователем. Цель? Это вызывает выполнение вредоносного кода на вашем компьютере и открывает его для многочисленных типов атак.

Таким образом, навигация с устаревшей конфигурацией программного обеспечения может означать серьезные риски запуска вредоносного кода в вашей системе. В нашей статье «Безопасный просмотр и защита браузера: проверка, обновление и удаление плагинов» мы описали все необходимые проверки, чтобы убедиться, что вы используете безопасную конфигурацию программного обеспечения.

В статье Проверка безопасности сайта. Просканируйте файл на вирусы, не скачивая его, мы представили пять инструментов, позволяющих проверить, заражен сайт или нет.

К уже представленным сервисам мы добавляем urlQuery, очень полезный инструмент, который действует немного по-другому.

urlQuery, по сути, получив на вход адрес какой-либо веб-страницы, переходит к ее посещению, как если бы это был обычный пользователь.

По умолчанию urlQuery посещает указанный веб-сайт, используя старую версию Mozilla Firefox, устаревшую версию Adobe Reader (8.0) и столь же устаревшую версию пакета Java (1.6.0_26).

Концепция проста: имитируя посещение веб-страницы с «устаревшей» конфигурацией программного обеспечения, urlQuery может определить, есть ли на целевом сайте вредоносный код, пытающийся использовать имеющиеся уязвимости.

Как ведет себя urlQuery, легко определить, нажав Дополнительные настройки на домашней странице сервиса:

Проверьте, не заражен ли сайт с помощью urlQuery

Как видите, пользовательский агент (строка, с которой браузер представляет себя при подключении к каждому веб-сайту) может быть изменен, в то время как другие настройки фиксированы.

Чтобы проанализировать любой веб-сайт, просто введите его URL-адрес в поле URL-адрес профиля. Если у вас есть сомнения по поводу поведения конкретной веб-страницы, хорошо указать полный URL-адрес и не ограничиваться введением только домена сайта.

После нажатия на «Перейти» urlQuery начнет анализировать указанный адрес, сообщая предупреждающие сообщения в случае обнаружения наличия вредоносного кода. Кроме того, полагаясь на пару программ IDS (системы обнаружения вторжений), таких как Snort и Suricata, urlQuery может распознавать потенциально подозрительные коды и вредоносные элементы, используемые для загрузки других вредоносных кодов (раздел «Системы обнаружения вторжений»).

В разделе «Оповещения urlQuery» вы сможете увидеть такие сообщения, как обнаруженная вредоносная инъекция IFRAME в случае, если указанный сайт подвергся атаке с добавлением вредоносного кода (в данном случае вставляется в тег HTML IFRAME).

Проверьте, не заражен ли сайт с помощью urlQuery

Такие сообщения, как «Обнаружен шаблон URL-адреса комплекта эксплойтов xxxx», указывают на наличие вредоносного кода, загруженного злоумышленниками с использованием указанного комплекта эксплойтов.

Таблица Недавние отчеты по тому же IP/ASN/Домену позволяет вам получить список сканирований, уже выполненных в urlQuery, относящихся к интернет-сайтам на той же машине, с тем же ASN (см. Google запускает службу защиты от вредоносных программ для больших сетей) или на том же домене.

Вторая часть страницы суммирует загруженные коды JavaScript и выполненные HTTP-транзакции: другим цветом выделены подозрительные элементы, уже указанные в начальной части отчета.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.