Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


JSUnpack (jsunpack-n)

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
18.08.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Service à nouveau fonctionnel et projets de développement

JSUnpack (jsunpack-n) est une sandbox navigateur permettant l'aide à l'analyse de codes trouvés sur des pages Web (PDF, PCap, HTML, SWF, JavaScript). Le but est d'identifier les entrées/sorties tentées par le code et les attaques cherchant à exploiter les failles navigateurs et les failles des plug-in des navigateurs.

JSUnpack (jsunpack-n)JSUnpack (jsunpack-n)JSUnpack (jsunpack-n)

JSUnpack - Sandboxing URL, PDF, JavaScript.

Qualité du service : 2,5/5

Sandbox Online (Behaviourial information - Informations comportementales)

Analyse URL, PDF, JavaScript.

JSUnpack = JavaScript Unpack (déobfuscation de codes javascript). Sandboxing - Emulation d'un navigatur - Analyse et décode le comportement d'un objet analysé : document PDF, dump PCap, SWF, code HTML, Script Javascript, URL d'une ressource Web.

Envoyer un fichier PDF, dump pcap, SWF, HTML ou JavaScript, ou saisir une URL ou un JavaScript.

Outil orienté vers les professionnels de la sécurité. Emule un navigateur pour analyser le comportement de l'objet analysé. Aide à la détection d'exploits visant les vulnérabilités des navigateurs et des plug-in des navigateurs.

JSUnpack est Open Source.

JSUnpack peut être téléchargé pour un usage local.

JSUnpack observe mais ne juge pas. Un professionnel sachant lire entre les lignes peut utiliser cette sandbox en Web réputation d'un site vue par les robots.

JSUnpack est une Sandbox (un bac à sable) spécialisée dans la déobfuscation de certains codes embarqués dans les pages Web.

JSUnpack émule un navigateur Internet pour analyser le comportement d'un objet (script javascript, PDF, PCap, HTML, SWF, etc. ...) envoyé à l'analyse.

Chaque fois que l'on a un doute sur le contenu actif d'une page Web, on peut soumettre la page WEB (son URL) ou les objets douteux à JSUnpack (jsunpack-n).

JSUnpack (jsunpack-n) décode tous les JavaScript chiffrés (cryptés - obfusqués), comme tout navigateur, car un script javascript doit, à un moment donné, être décrypté (déobfusqué) pour pouvoir être exécuté dans le navigateur de l'internaute.

JSUnpack est un outil assez technique, orienté vers les chercheurs en sécurité. Il est installé, pour un usage en ligne, sur un site n'utilisant aucune technologie (vous pouvez avoir JavaScript désactivé, etc. ...).

Vous pouvez envoyer à l'analyse un fichier PDF, SWF, HTML ou JavaScript (.js). Vous pouvez indiquer une URL à analyser ou vous pouvez saisir un script JavaScript.

Le tout est envoyé sur un serveur qui émule le comportement des navigateurs et fonctionne en navigateur virtuel, dans un environnement confiné, comme un "bac à sable" (sandbox). L'outil rapporte la liste des fichiers téléchargés par le code analysé (le principe de la malveillance " Drive-by-download ") , la liste des fichiers que l'objet analysé cherche à envoyer et vers qui. D'autres analyses observent les interactions tentées avec la navigateur, le but est d'identifier les sites malveillants cherchant à exploiter :

  • Les failles de sécurité des navigateurs
  • Les failles de sécurité des plug-in des navigateurs (les failles des lecteurs Acrobat Reader qui rendent les documents PDF vecteurs de codes malicieux, de même que les failles des lecteurs SWF...)
  • Etc. ...

Ce projet Open Source, qui a connu une période de saturation, est désormais hébergé par le " Google Project Hosting ".

Autres outils de décodage.

Exemple d'analyse par JSUnpack :

Exemple d'analyse par JSUnpack
Exemple d'analyse par JSUnpack

JSUnpack - Message obtenu en janvier 2016 - Le service semble ne plus fonctionner
JSUnpack - Message obtenu en janvier 2016 - Le service semble ne plus fonctionner


Instabilité du service JSUnpack

  • Tests janvier, février, mars 2016 : semble ne plus fonctionner.
  • 21.04.2016 - Fonctionne à nouveau.
  • 21.04.2016 - Le service est hébergé sur un ordinateur domestique utilisé en serveur. Il sature et la connexion Internet également. En plus, son fournisseur d'accès Internet voit d'un très mauvais oeil toutes ces connexions à des domaines connus pour être des domaines de malwares ou des domaines d'attaques.
  • 21.04.2016 - Des changements sont prévus, dont un hébergement robuste, ainsi qu'une nouvelle version qui s'appellera JSUnpack3000.

Failles de sécurité - Comment se prémunir contre ces attaquesContre-mesures aux failles de sécuritéFailles de sécurité - Comment se prémunir contre ces attaques

Le service JSUnpack (jsunpack-n) ne remplace pas les mises à jour contre les failles de sécurité.

Contre-mesures :

Appliquer, au moins une fois par semaine, ou, mieux, paramétré pour que cela s'exécute de manière automatique, sans délais, tous les points relatifs aux failles de sécurité du mémo :

Mises à jour périodiques d'un PC sous Windows.

Dont, entre autres choses :

  1. Appliquer tous les correctifs connus aux failles de sécurité des produits Microsoft avec Windows Update, paramétré en mode automatique pour les " Correctifs critiques ", tous les " Services Pack " et tous les " Services Release ".
    Windows Update
  2. Faire la même chose pour tous les autres produits non Microsoft avec Secunia PSI
    Secunia PSI
  3. Mettre à jour de tous les plugins (toutes les technologies) dans tous les navigateurs
    Mise à jour de tous les plugins dans tous les navigateurs
  4. Mettre à jour Java
    Mise à jour de Java
  5. Mettre à jour et paramétrer correctement Adobe Flash Player
    Mise à jour de Flash Player
  6. Mettre à jour Adobe Reader
    Mise à jour d'Adobe Reader (lecteur de documents .pdf)
  7. Régler et protéger les navigateurs et la navigation
    Protection du navigateur et de la navigation
  8. Désinstaller tous les programmes et toutes les technologies qui ne sont plus utilisés
    Revo Uninstaller
  9. Utiliser un antivirus temps réel (fonctionnant dans le mode On-access)
    Antivirus - Recommandé pour le particulier : Suite de sécurité Kaspersky PURE
  10. Utiliser un anti-malwares temps réel (fonctionnant dans le mode On-access)
    Anti-malwares - Recommandé dans tous les cas : Malwarebytes Anti-Malware Pro (MBAM)
  11. Bloquer tous les mécanismes publicitaires afin d'éviter d'être piégé par un Drive-by Download.
    Bloquer tous les mécanismes publicitaires

Avoir un très bon pare-feu activé

Arrêter et désactiver les services (Windows et non Windows) inutiles.

Outils d'analyse détectant si un document (Flash, JavaScript, PDF, etc. ...) tente d'exploiter une faille de sécurité dans le lecteur de ce documents (Flash Player, Acrobat Reader, etc. ...)