¿Existen firmas de malware de Javascript?

Hay firmas dinámicas y estáticas.

Las firmas dinámicas utilizan las firmas dinámicas, tales como el análisis de los comportamientos del malware de JavaScript: independientemente de la profundidad y la complejidad de la ofuscación de código de un malware JS determinado, la huella digital y el nivel de ejecución son los mismos.

Algunos ejemplos de estas herramientas que se basan en la detección de huellas dactilares en el lado dinámico-ejecución de malware JS son:

1. Iceshield
2. Zoozle
3. Spyproxy
4. EarlyBird
5. Perfilador

Las firmas estáticas de malware JS también existen y son utilizadas por los antivirus tradicionales. Se basan en el código fuente de la JS maliciosa (la totalidad o partes de ella) o mediante el análisis estadístico de algunas funciones sospechosas de JS como eval() y unescape() .

Hay firmas, pero estas no suelen existir en los productos AV estándar. Con frecuencia, estos tipos de protecciones se encuentran en productos de seguridad basados en la red, como servidores proxy, IPS / IDS y firewalls de aplicaciones web.

Estas firmas no operan en hashes como lo hacen las firmas AV típicas, sino que miran las heurísticas o el comportamiento del código en sí. Si el escáner examina un fragmento de código y contiene una función o una llamada de aspecto sospechoso, puede desencadenar una detección heurística. Este es el único tipo de funcionalidad que puede encontrar en algunas "suites AV" de nivel de consumidor, como Internet Security de Norton o McAfee's Total Protection.

La mayoría de los productos de seguridad de red de nivel empresarial también podrán realizar análisis de código en las páginas web solicitadas por los usuarios. Los servidores proxy, por ejemplo, analizarán el código con el mismo tipo de heurística que se mencionó anteriormente, pero también realizarán búsquedas inversas para algunas funciones de código. Por ejemplo, el proxy puede ejecutar una verificación de reputación en una dirección IP específica que se está llamando dentro del código JS.

Existe una tecnología de almacenamiento de arena para malware que a menudo está fuera del presupuesto para cualquier cosa que no sea una gran empresa. Es un nicho de mercado actualmente propiedad de FireEye, Mandiant y McAfee. Estos dispositivos están conectados a puntos de recolección como sensores IPS, proxies, filtros de correo electrónico, WAF, etc. y reciben copias de los datos que atraviesan los límites de la red. Una vez que la tecnología recibe los datos, los clasifica e identifica qué tipos de código son normales para el tipo de datos (ej. Documento de Word, PDF, EXE, HTML, etc.) y desglosa el código para identificar el código sospechoso. Esta parte es similar a lo que el consumidor AV hace con las heurísticas. Además, la tecnología de espacio aislado de malware permitirá que el archivo se ejecute o ejecute en un entorno virtualizado para ver cómo reacciona. Registrará todas las conexiones de red, los cambios de registro, las llamadas de archivos y las ejecuciones adicionales encadenadas mediante las cuales el dispositivo determina si los datos están seguros o no. Este mismo proceso se realiza para muchos tipos de datos, incluidos correos electrónicos, solicitudes de sitios web, descargas de archivos, applets de flash / java y más.

Como está en seguridad, no hay una manera de identificar algo como malicioso, sino más bien muchas comparaciones con lo que ya se sabe que es malicioso para predecir el comportamiento futuro.

EDIT:

Para abordar la edición de tu pregunta, deberás obtener acceso a algunos repositorios de malware. A menudo, se accede a estos a través de referencias, mientras que las personas amables que distribuyen abiertamente las muestras que se encuentran en la naturaleza pueden acceder a ellas. Aquí hay una lista de repositorios proporcionados por Lenny Zeltser, que es un conocido investigador de malware y manejador de incidentes para SANS:

enlace