2.4.1. Che dấu mã
Để trốn tránh việc phân tích phát hiện các hành vi nguy hiểm, một số quảng cáo độc hại sử dụng các kỹ thuật che dấu để tránh quét dựa trên chữ ký phần mềm chống virus [4]. Chẳng hạn như:
- Hàm eval() và document.write() được tiêm vào kịch bản để tiêm vào mã động.
- Để hình thành một chuỗi dài không đọc được, sử dụng hàm escap() mã hóa các ký tự, và cuối cùng sử dụng hàm unescape() trong kịch bản hoặc một trình duyệt để giải mã.
- Để đạt được sự thay thế chuỗi con, thường sử dụng một hàm hoặc biến. - Tùy biến các thủ tục giải mã được viết trong kịch bản.
2.4.2. Chuyển hướng URL
Nhiều quảng cáo độc hại tự động chuyển hướng tới URL khác. Khi trình duyệt truy cập một URL, thời gian phản hồi của URL này sẽ tự động hướng dẫn các trình duyệt để truy cập vào một hoặc nhiều URL khác mà không ảnh hưởng đến nội dung của màn hình vào người sử dụng. Chuyển hướng sử dụng công nghệ sau:
- Sử dụng mã phản hồi 301, 302 của giao thức http để chuyển hướng. - Sử dụng các thẻ html bao gồm các thuộc tính src của iframe, khung trong khung và các thẻ kịch bản liên kết đến địa chỉ bên ngoài.
- Sử dụng các hàm của kịch bản bao gồm: window.location.replace(), window. location.href() và window.open().
2.4.3. Khai thác các lỗ hổng
Hệ thống Web độc hại hoặc các lỗ hổng trình duyệt nguy hiểm là lợi thế của chương trình, khi người dùng truy cập vào các trang này, các thủ tục này có thể tải về trojan hoặc phần mềm độc hại khác trên máy chủ dẫn đến tình trạng không an toàn của máy chủ. Để sử dụng các trình duyệt Internet, lỗ hổng Internet Explorer rủi ro cao hơn, sử dụng các phương pháp chung được chia thành hai sau:
- Do sơ hở dẫn lỗi cho việc thực hiện các shellcode trong mã nguồn của trang có chứa shellcode.
- Sử dụng các thành phần hoặc các lỗ hổng khác để tải về và chạy chương trình. Các hàm phổ biến là hàm CreateObject(), hàm ActiveXObject() hoặc các tập tin địa chỉ URL chứa trong các thẻ object.
Cần hai mức kiểm tra cho mã trang cho các đặc điểm trên. Mức đầu tiên là mô hình chữ ký được trích xuất phù hợp cho kịch bản. Tập trung vào các chức năng mã hóa, kịch bản mức rủi ro cao để kiểm tra. Mức thứ hai, kiểm tra độ dài của URL và hậu tố tên tập tin trong iframe có mức độ rủi ro cao, khung, kịch
bản và liên kết thẻ và kiểm tra các thẻ đối tượng nếu chúng có chứa địa chỉ URL của tập tin.
Một số đặc điểm của mã nguồn URL độc hại được phân tích ở trên có chứa các URL sở hữu các đặc tính được tải vào máy chủ cơ sở dữ liệu thông qua một tìm kiếm hình ảnh trên web, công cụ tìm kiếm có sẵn cho người sử dụng các URL, và nó có thể gây ra nhiễm độc đối với PC người dùng và phá hủy những dữ liệu người sử dụng, ăn cắp thông tin được lưu trữ trên các máy phục vụ người dùng, tên người dùng và mật khẩu, và thậm chí có thể gây ra hư hỏng về phần cứng. Mục đích của phương pháp phát hiện URL tĩnh là các URL độc hại được phát hiện.
CHƯƠNG 3. ĐÁNH GIÁ MỨC ĐỘ PHỔ BIẾN CỦA QUẢNG CÁO VÀ QUẢNG CÁO ĐỘC HẠI