安全企业Akamai披露,他们最近分析超过1万个恶意的JavaScript样本,发现至少有25%采用混淆技术来躲避侦测,不过,由于有些合法网站也采用此类技术,因而提高整体安全侦测正确率的门槛。
JavaScript为一客户端的脚本语言,几乎所有网站都采用JavaScript,也使得它受到黑客的青睐。黑客以JavaScript来执行网络钓鱼或诈骗等恶意活动,并有越来越多的黑客利用混淆技术来闪避侦测,包括植入无用的程序代码、拆乱程序代码,或是使用同样的函数与变量名称。
Akamai认为,超过25%的恶意JavaScript文件遭到混淆,代表着黑客已广泛采用这种闪避侦测的技术。
不过,并非所有采用混淆技术的JavaScript都是恶意文件,当Akamai检查Alexa流量排行榜上的前2万个网站时,发现已有0.5%的合法网站嵌入混淆的JavaScript程序代码。这些网站混淆程序代码的目的,通常是为了隐藏某些客户端程序代码的功能,或是混淆电子邮件这类机密资料,有时则是由第三方供应商混淆程序代码。
要侦测这些混淆程序代码是否含有恶意威胁,需耗费大量时间与资源,相对而言,也替黑客争取更多攻击时效性,对此Akamai建议,组织应该先把所有的混淆程序代码视为可疑程序,再利用多个指标来判断混淆程序的良莠,以减少误判。