Ci sono regole Yara inviate da SANS ISC per rilevare il BeEF, che potrebbero essere riproposte da yarashop per il livello di rete come sistema di rilevamento di allerta precoce. L'autore mostra come utilizzare la Volatilità per leggere in un'acquisizione di memoria e cercare firme e comunicazioni relative al BeEF - link
Per rimuovere un hook Javascript, come BeEF, in genere è necessario solo cancellare la riapertura di pagine / schede, cronologia e cache prima di riavviare tutti i processi del browser. Tuttavia, in alcuni scenari BeEF persistenti , dovrai considerare anche altri negozi di browser offline, come la cache offline HTML5 .
Hai ragione a voler cercare BeEF, ma vorrai anche scavare un po 'più a fondo. È facile offuscare Javascript e può essere difficile modificare i tuoi rilevatori per cogliere queste obiezioni. Altri pacchetti di aggancio Javascript, come XSSF , Scanbox.js , o ausiliare / gather / browser_info modulo può essere utilizzato al posto di BeEF.
Minacce emergenti, recentemente acquisite da Proofpoint, ha una serie di regole Snort - link - molti dei quali coprono BeEF, XSS, Scanbox, et al. In particolare, vorrai controllare i file emergenti trojan.rules e emerging-web_client.rules. Ci sono voci specifiche per BeEF e Scanbox, oltre a quelle generiche per catturare XSS attivo dal punto di vista del client (cioè, browser).
Qui ci sono due articoli che parlano di come le comunità di minacce stanno convergendo su queste tecnologie di aggancio di Javascript - link
- link