【IT168 专稿】根据近期来自CanSecWest安全会议的消息,一名安全专家在大会上表示, JavaScript代码已经变成了黑客攻击的一个关键部分,攻击者们也在javascript上投入了更多的精力,他们通过采用障眼法和其他技术,使防护者利用反向工程学知识检测恶意代码的困难加大。
病毒防护公司Arbor Network的首席安全工程师Jose Nazario表示,攻击者已经采取了类似的技术来隐藏某些恶意代码的意图,诸如将恶意代码打散并分成好几部分,然后对其使用特殊的编解码,从而使恶意JavaScript代码的功能对用户来说更加模糊化。他还表示,其他方面提高还包括增加了旨在检测在一个虚拟机上尝试调试或运行这些JavaScript代码的行为。
“将有许多防御性的JavaScript代码出现,”Nazario告诉参会者,“攻击者现在将可以屏蔽告警信息,并会屏蔽各种检测程序。他们还将经常只允许某一个IP地址来下载这些JavaScript代码。”
一年前安全专家就发出警告称,采用了JavaScript和交互式Web技术的用户在线档案信息和数据,可能成为未来蠕虫病毒散播的另一种新的主流方式,就像在2005年感染了MySpace的Samy蠕虫病毒。
2005年10月,年仅19岁的Samy Kamkar发起了对MySpace.com的攻击,他所利用的技术正是Web 2.0网站依赖的AJAX。通过利用MySpace.com中的漏洞,Samy Kamkar的蠕虫在几个小时内就在其好友列表中加入了100万好友,并在每个人的自我简介后边加了一句话:“不过最重要的是,Samy是我的英雄。”
现在越来越多的网站开始使用AJAX(异步JavaScript和XML)技术,用其来共享数据或增强网站的交互性,这种情况加剧了这一威胁的程度。
在过去的2006年,使用JavaScript和AJAX编写恶意软件已经从一个有意思的研究课题变为一个互联网安全面临的重大威胁,日益频繁的被黑客用来危机用户计算机的安全。
在今年二月份,安全公司Websense的安全研究工作人员发现,迈阿密的海豚体育场(Dolphin Stadium)的网站上发现了一些恶意代码,在这个网站的头文件含有恶意JavaScript代码文件,一旦浏览者访问网站,他将利用两个已知的连个微软安全漏洞来下载和执行恶意代码。
根据网友反馈发现,有接近四十个网站被植入了类似的代码。
Websense负责安全研究的副总裁Dan Hubbard在二月份就曾表示,“我认为对海豚体育场网站的被攻击绝不是黑客发起的最后一次攻击。”
结果被他不幸言中,不知道是否是同一组织发起,最近发生的微软动画光标漏洞攻击事件几乎是采用了完全相同的攻击原理,对网络上计算机带来了极大的安全威胁。
JavaScript恶意代码的复杂性的提高,使得安全专家使用核实的调试工具和备份变形的代码变得更加重要,Arbor的Nazario表示,许多最新的技术不仅仅是用来欺骗被攻击者,还用来欺骗恶意软件分析家们。
Nazario表示,“它们的目标就是让攻击行为更隐蔽化,不仅仅是欺骗你的系统,同样也用来欺骗那些分析家们。”
其他安全专家也表示,使用JavaScript编写的恶意软件将变得更加强大。
上个月来自SPI公司的安全研究人士Billy Hoffman演示了一个JavaScript漏洞扫描器,这个程序以JavaScript编写,称为“Jikto”。
Hoffman说,用这个程序,可以让恶意代码感染的网站的访问着的计算机在不知不觉的情况下成为一个黑客攻击的帮凶。不过这个概念验证验证程序只有基本的功能,进一步的开发工作可以让这个软件可以把Web站点访问用户变成临时的“僵尸”计算机。
在Hoffman演示后一周,有的人泄露了这个工具的源代码,3月25日,一个与会者在其网站上发布了这些代码,并且在Digg.com上发布了一个链接。应Hoffman的要求,他在数小时后就删除了该软件,不过该软件被下载了大约100次。
安全研究者们担心犯罪分子会用它来搜索内网的敏感信息,或者建立恶意的僵尸网络。“这个特殊的工具能够控制网络浏览器,”白帽子安全公司的CTO Jeremiah Grossman说,“它会散布到其他网络站点,并扫描那些站点,寻找安全漏洞。”