Вредоносный JavaScript остается одной из главных угроз для веб-приложений. По данным OWASP, инъекции скриптов входят в топ-3 атак, а обфусцированные версии обходят традиционные сигнатурные детекторы. В этой статье мы рассмотрим, как разработать систему проактивного сканирования и блокировки вредоносного JavaScript на основе поведенческого анализа в реальном времени, которая способна выявлять даже zero-day угрозы.
Традиционные методы защиты, такие как WAF (Web Application Firewall) и сигнатурные антивирусы, неэффективны против динамически генерируемого кода. Злоумышленники используют обфускацию, минификацию и асинхронную загрузку, чтобы скрыть вредоносные действия. Например, скрипт может выглядеть как безобидный аналитический код, но на самом деле выполнять кражу кук или перенаправлять пользователя на фишинговый сайт. Поведенческий анализ позволяет отслеживать реальные действия скрипта: вызовы eval(), document.write(), манипуляции с window.location и доступ к чувствительным API.
Вместо поиска известных сигнатур мы анализируем последовательность вызовов API и контекст выполнения. Система собирает трассировку выполнения скрипта в изолированном sandbox-окружении (например, на основе V8 или QuickJS) и сравнивает с базой поведенческих профилей. Если скрипт пытается выполнить подозрительные действия, такие как многократный вызов document.cookie с последующей отправкой на внешний домен, он блокируется до загрузки на страницу.
Система состоит из трех уровней: сборщик трафика (перехватывает все скрипты на уровне HTTP-прокси), анализатор поведения (запускает каждый скрипт в sandbox и записывает лог вызовов) и блокировщик (принимает решение на основе пороговых значений). Например, если скрипт за 100 мс делает более 5 попыток доступа к window.top или вызывает fetch() с неизвестным доменом, он помечается как вредоносный.
Пример 1: Скрипт загружается с CDN, но после загрузки выполняет eval(atob('...')) для декодирования и выполнения кода. Поведенческий анализатор фиксирует вызов atob с последующим eval и блокирует скрипт.
Пример 2: Скрипт собирает данные формы и отправляет их на URL, не соответствующий политике безопасности. Система обнаруживает аномалию в цепочке вызовов: getElementById → XMLHttpRequest на сторонний домен.
Пример 3: Обфусцированный скрипт использует String.fromCharCode для построения строки, которая затем передается в Function(). Анализатор распознает эту последовательность как типичный паттерн обфускации и блокирует выполнение.
Разработка системы проактивного сканирования на основе поведенческого анализа — это не просто тренд, а необходимость в условиях роста сложности атак. Такой подход позволяет блокировать вредоносный JavaScript до того, как он нанесет ущерб, и адаптироваться к новым угрозам без обновления сигнатур. Начните с малого: внедрите sandbox-анализ для критичных страниц и постепенно расширяйте покрытие. Помните, что безопасность — это процесс, и поведенческий анализ дает вам преимущество в гонке с злоумышленниками.
