Die Angriffe über mehrteilige bösartige JavaScripts nehmen zu

Originalartikel von Ryan Flores (Advanced Threats Researcher bei Trend Micro)

Der neuste Fund der TrendLabs führt wieder vor Augen, wie komplex und umfangreich die Arbeit der Sicherheitsforscher ist: In den letzten Tagen haben die Trend Micro-Experten einige Webinfektionen festgestellt, die dadurch auffielen, dass mehrteilige bösartige JavaScript-Techniken an den Angriffen beteiligt waren. In der Vergangenheit war bösartiger JavaScript-Code in einzelnen .JS- oder .HTML-Dateien enthalten, was dessen Entdeckung und Analyse relativ einfach gestaltete. Mit der neuen Technik lässt sich der JavaScript-Code in mehrere Teile aufspalten, um verschiedene Dateien daraus zu machen.

Folgendes Beispiel zeigt, dass die .HTML-Datei mit ap.js verlinkt ist, während das eingebettete JavaScript die Funktion ac2() aufruft.

Die Funktion ac2() jedoch ist nicht im JavaScript enthalten, dass in der aktuellen HTML-Datei eingebettet ist, sondern ist mit der JS-Datei (siehe Bild unten) verlinkt:

Diese Technik ist deshalb bemerkenswert, weil der bösartige JavaScript-Code in mehrere Komponenten aufgeteilt werden kann, wobei jede einzelne an sich nicht bösartig ist. Die wahre Natur des Codes zeigt sich erst, wenn die einzelnen Teile korrekt zusammen gefügt werden. Es genügt also nicht mehr, die HTML- und JS-Dateien einzeln zu analysieren, sondern Sicherheitsforscher müssen ihre Analyse im Kontext der Website durchführen, auf der die HTML- und JS-Dateien benutzt wurden.

Die Technik der mehrteiligen JavaScripts ist nicht brandneu. Trend Micro Forscher sie bereits im Zusammenhang mit bösartigen Website, die an Angriffen auf die OCW ActiveX-Schwachstelle beteiligt waren, darauf gestoßen. Mittlerweile steigt die Beliebtheit dieser mehrteiligen JavaScript-Technik, wie die beiden infizierten Websites zeigen. Anscheinend haben die Bad Guys das Potenzial dieser Technik erkannt, denn sie erschwert das Aufdecken und die Analyse der Angriffe.

Das Trend Micro Smart Protection Network identifiziert die bösartigen JavaScripts als Expl_ShellCodeSM und blockiert die betroffenen URLs.

2 Gedanken zu „Die Angriffe über mehrteilige bösartige JavaScripts nehmen zu

  1. Ralph Dombach

    Hallo liebe Blog-Admins,

    ein guter Artikel und eine sehr interessante Info – VIELEN DANK!
    Könnten Ihr vielleicht bei gleichartigen Artikeln die eingebettenten Bilder so ablegen, das man sie auch vergrößern kann. Denn wenn ich jetzt auf ein Bild klicke, wird es zwar in einem neuen Fenster geöffnet, entspricht aber in der Darstellungsgröße dem Original. Und wenn ich dieses Bild im Browser dann vergrößere wird es unscharf bzw. unleserlich.

    So entgeht mir leider eine wensentliche Info zu dem Artikel.

    Vorab vielen Dank und beste Grüße! Ralph

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*