Поиск вредоносного кода «голыми руками»

[Resurrected]

А если там обфускация кода, то все?

[tbon]

Да, но для поверхностного быстрого анализа за минуту на простейшие вещи достаточно. Для историй с обфускацией и бинарниками нужны уже тяжелые решения.

[gecube]

не надо так делать, это из разряда вредные советы. Касательно поиска вредоносов... Ну, есть еще более простой способ - пиши полностью весь код сам ))) без зависимостей

[tbon]

Не все возможно написать самому. Как вы напишите на Flask или Laravel с нуля?

Речь же не идет о замене Kali со всем инструментарием на три строчки bash кода. Или замену акунетиксу и тд. Но примитивная проверка, если ее нет совсем никакой, происходит. В какой то степени решение расширяется в зависимости от ситуации.

[gecube]

Ну, тогда ответьте на вопрос - а что сразу не искать semgrep’ом? Его установить по сути два клика или одна команда?

Не все возможно написать самому. Как вы напишите на Flask или Laravel с нуля?

Возможно все. Другой вопрос - экономическая целесообразность

[tbon]

Semgrep это полноценный статичсекий анализатор на Python. Не думаю, что стоит сравнивать. Его может не оказаться по разным причинам, как техническим так и иным. Месяц назад все можно было поставить, а сегодня удалают репы крупных компаний из гитхаба, и ES не доступен с определенных IP.

Grep xargs и bash есть в любой системе. Не требует установки, изучения правил Semgrep и тд.

Деньги - не единственный фактор. Еще есть время. Не уверен, что при любых деньгах стоит писать свой SHA512 или драйвер bluetooth. Так придется идти до ядра и своего железа с нуля.

[gecube]

ES не доступен с определенных IP.

И что?

Его может не оказаться по разным причинам, как техническим так и иным.

Точно так же можно дорассуждаться до того, что bash/grep/xargs станут недоступны на т-и отдельных гос-в.

К примеру - базовый образ docker alpine - Баша там нет, только голый Sh

Вы же сами утверждаете, что Фласк и ларавель берете готовые… или это другое?

[tbon]

Я не пытаюсь с Вами спорить. Если у вас есть уже semgrep и вы его используете, вы маловероятно будете решать задачу грепом. Но если ничего кроме грепа у вас нет, то это решение.

[randomsimplenumber]

Есть хоть один пример нахождения этим скриптом чего то вредоносного?

[tbon]

https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c

вставляйте в словарь любые признаки и все найдет

ipgeolocation
deleteFile
heartUtf8

[Resurrected]

Мне кажется, что все же нужно внимательно изучать каждую новую версию, прежде чем ее устанавливать, нужна она или нет, а то получится, как патчами от университета Миннесоты https://habr.com/ru/news/t/556106

[amarao]

И вы действительно изучаете каждую новую версию? И как вам там, читая патч к ядру и код новой версии браузера?

[Resurrected]

Очевидно, что вы хотите услышать ответ "нет". Но да, изучаю. Это плохо или возбраняется?

В браузерах я вообще не гонюсь за новизной.

[amarao]

А за исправлениями узявимостей? Успеваете всё это читать и понимать что оно меняет?

[vilgeforce]

Кажется, вы "изобрели" YARA

[gleb_l]

Помните document.write(‘<scr’ + ‘ipt>’ + …?

[tbon]

Безусловно. Коллеги выше верно писали и про обфускацию. Да - тремя строчками и грепом, такое уже не ищется. Для этого есть уже другие инструменты @gecube заметил выше хороший инструмент semgrep.

Но последнее время злоумышленники не паряться и втыкают код как есть не запариваять даже ‘<scr’ + ‘ipt>’. Примеров тысячи. Сюда кидать не буду. А то тут опять набегут хейтеры провокаторы и диванные бойцы топить мою карму.

[gleb_l]

Правильный подход - не топить, а наоборот, повышать карму оппоненту. Чтобы хоть немного отогнать бронепоезд от станции Холивар к станции Диспут.

Просто считать, что враг наивен - не менее наивно. В настоящей борьбе обе стороны всегда используют максимум своих возможностей - иначе нет смысла тратить силы вообще.

Зачем вахтёр, который проверяет пропуск, но если нет, то «пускает и так»? Он только съедает деньги и нервы ;)

[tictac17]

Мне почему-то сразу вспомнился "известный" антивирус "Иммунитет" от Алексея Бабушкина. Тоже на скриптах был)