Derfor er Javascript populært til ransomware - og sådan sikrer du dig

21. juni 2016 kl. 12:114
Det seneste skud på ransomware-stammen er skrevet udelukkende i Javascript og udnytter, at Windows som standard vil køre scripts uden browserens sikkerhedsforanstaltninger.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Javascript er i løbet af det sidste halve år blevet det foretrukne våben for de nye familier af ransomware. Tidligere var det makrovirus, der udnyttede de omfattende rettigheder makroer i Microsoft Office kan få, hvis man giver dem lov. Men Javascript i Windows er ikke begrænset til browseren, og det kan udnyttes.

Det seneste eksempel er RAA, der er skrevet fuldstændig i Javascript og ikke blot bruger sproget til at afvikle et første trin, der downloader og installerer den egentlige malware.

Det kan lade sig gøre, fordi der som standard er meget få sikkerhedsforanstaltninger omkring afviklingen af Javascript på Windows, skriver Paul Ducklin fra sikkerhedsfirmaet Sophos i et blogindlæg.

Angrebet bygges op via social engineering, som typisk foregår via en e-mail, der er tilpasset modtageren og skal få modtageren til at åbne en vedhæftet fil. Det kan eksempelvis være en mail, der foregiver at indeholde en vigtig faktura eller endda en hastebesked fra en anden medarbejder i samme firma.

Artiklen fortsætter efter annoncen

Den vedhæftede fil vil som regel have et navn, der lyder plausibelt, men ransomware-bagmændene udnytter, at Windows som udgangspunkt ikke viser filendelser. Det er altså muligt at navngive en fil faktura.pdf.js, som så kun vil blive vist som faktura.pdf over for brugeren. Filendelsen .js, der indikerer, at der er tale om et Javascript, er altså skjult.

En måde at hjælpe brugerne til at undgå at falde i fælden kan altså være at sætte en gruppepolitik op, der gør filendelser synlige. Det kan dog medføre indvendinger fra brugerne, da filendelserne så også vil blive synlige i de dialogbokse, hvor de gemmer og åbner filer.

Mens batch-filer med filendelsen .bat eller .cmd bliver vist med et 'gearkasseikon', så bliver filer med endelsen .js vist med et 'skriftrulleikon'. Selvom det ikke ligner ikonet for de mest almindelige PDF-læsere eller dokumentformater, så minder det dog mere om et dokument end om et eksekverbart program.

Som standard er Windows sat op med en filassociation på .js-filer, som vil åbne dem med Windows Based Script Host. Hvis man afvikler et Javascript med Script Host, så vil koden blive afviklet som ethvert andet program. Selvom det er Javascript, så afvikles det altså ikke med de begrænsninger og sikkerhedsforanstaltninger, der er lagt omkring Javascript i browseren.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Ifølge sikkerhedsorganisationen SANS er det derfor en god idé at forhindre disse scripts i at blive afviklet. Udover at gøre filendelsen synlig for brugerne, så kan man også associere .js-filer med eksempelvis Notesblok gennem en gruppepolitik. Se linket til blogindlægget hos SANS for eksempler på, hvordan gruppepolitikken kan sættes op.

Med den nye filassociation vil en Javascript-fil blive åbnet i teksteditoren, hvorfra koden ikke umiddelbart kan gøre skade.

Ved samme lejlighed kan man overveje at gøre noget tilsvarende for en række af de øvrige typer af scripts, som Windows afvikler på samme måde, men er baseret på eksempelvis Visual Basic.

Det er også en god idé at sætte et filter op på mailserveren, som filtrerer disse scriptfiler fra, inden de når brugerne.

Emner
4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Bent Jensen
22. juni 2016 kl. 10:44

Endnu en grund til ikke at hvidliste Version2, og bruge addbloker og andet.

Da man må formode, at jo mere kode man blokere, og dermed ikke afvikler, jo mere sikkert bør man være. Version2 har jo som alle andre, der "bare" sælger reklame ikke styr på hvad og fra hvem der vise reklame og afvikles kode. OG vil sikkert heller ikke dække udgifter hvis der er ondsindet kode i mellem.

Man kunne måske snakke om at godkende og hvidliste version2, så man slipper for deres hylereri over add bloker. Mod de tager ansvaret for alle de skader en evt mallware eller virus på deres hjemmeside forvolder. Samt tager ansvaret for at data og personlovgivningen i Danmark og EU også er overholdt, af alle de selskaber som har links og reklamme på hjemmesiden ?

Ellers må de undvære "kager".

  • more_vert
    • insert_linkKopier link
3
Morten Hansen
22. juni 2016 kl. 09:49

Hvilken sikker browser? Lynx..?

Chrome:https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-15031/opec-1/Google-Chrome.htmlFirefox:https://www.cvedetails.com/vulnerability-list/vendor_id-452/product_id-3264/cvssscoremin-7/cvssscoremax-7.99/Mozilla-Firefox.htmlIE:https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-9900/Microsoft-Internet-Explorer.html

Alle tre har seriøse sårbarheder som udnyttes af javascript. Der findes ingen sikker browser, der findes kun huller som ikke er opdaget endnu, og håbet er at det er en whitehat som finder den og ikke en blackhat.

  • more_vert
    • insert_linkKopier link
2
Carsten Olsen
21. juni 2016 kl. 22:16

Jeg er ikke ligefrem en sikkerheds Expert. Men jeg udtaler mig gerne om sikkerhed fordi jeg har fundet ud at dem der er sikkerheds experter heller ved noget om sikkerhed. Men guru Linus udtaler sig her om "chain of trust" : https://youtu.be/4XpnKHJAok8?t=27m40

  • more_vert
    • insert_linkKopier link
1
Carsten Olsen
21. juni 2016 kl. 21:58

Men Javascript i Windows er ikke begrænset til browseren, og det kan udnyttes.

JavaScript er ikke på nogen måde usikkert i browseren!. (hvis du vælger en sikker browser) Jeg har ihvertfald ikke set nogen eksempler på det.

Hvis det er usikkert uden for browseren er det kun på sårbare OSer som Microsoft Windows. (Windows 10 er meget mere sikkert end Windos XP, hvem ved.... måske er Windows 10 et meget sikkert OS om 3 år. Microsoft har ihvertfald prøvet (seriøst) at stramme op på sikkerheden de sidste 2 år)

Det kan lade sig gøre, fordi der som standard er meget få sikkerhedsforanstaltninger omkring afviklingen af Javascript på Windows, skriver Paul Ducklin

Lige mine ord.

  • more_vert
    • insert_linkKopier link