Prevenire il browser dallo sfruttamento di BeEF

4

BeEF è un grande strumento basato sul browser per l'exploit. Ma in alcuni casi, inconsapevolmente, le persone vengono Hooked a causa di manzo quando è hook.js è conservato in Iframe invisibile di una sorgente HTML. Quindi, come possiamo rilevare che il nostro browser è effettivamente collegato dal server di comunicazione BeEF o no? Se siamo stati Hooked, che cosa sono le misure per rimuovere il gancio?

Inoltre, come può il browser di una persona infettato da BeEF può invertire e trovarlo server di comunicazione (il luogo in cui il traffico in uscita viene inviato come server: 8080 / ui / pannello)

    
posta Gerorge Timber 03.05.2016 - 20:05
fonte

2 risposte

3

Ci sono regole Yara inviate da SANS ISC per rilevare il BeEF, che potrebbero essere riproposte da yarashop per il livello di rete come sistema di rilevamento di allerta precoce. L'autore mostra come utilizzare la Volatilità per leggere in un'acquisizione di memoria e cercare firme e comunicazioni relative al BeEF - link

Per rimuovere un hook Javascript, come BeEF, in genere è necessario solo cancellare la riapertura di pagine / schede, cronologia e cache prima di riavviare tutti i processi del browser. Tuttavia, in alcuni scenari BeEF persistenti , dovrai considerare anche altri negozi di browser offline, come la cache offline HTML5 .

Hai ragione a voler cercare BeEF, ma vorrai anche scavare un po 'più a fondo. È facile offuscare Javascript e può essere difficile modificare i tuoi rilevatori per cogliere queste obiezioni. Altri pacchetti di aggancio Javascript, come XSSF , Scanbox.js , o ausiliare / gather / browser_info modulo può essere utilizzato al posto di BeEF.

Minacce emergenti, recentemente acquisite da Proofpoint, ha una serie di regole Snort - link - molti dei quali coprono BeEF, XSS, Scanbox, et al. In particolare, vorrai controllare i file emergenti trojan.rules e emerging-web_client.rules. Ci sono voci specifiche per BeEF e Scanbox, oltre a quelle generiche per catturare XSS attivo dal punto di vista del client (cioè, browser).

Qui ci sono due articoli che parlano di come le comunità di minacce stanno convergendo su queste tecnologie di aggancio di Javascript - link - link

    
risposta data 03.05.2016 - 21:54
fonte
0

Se l'unica preoccupazione sono i browser "hook.js" come Mozilla, Firefox ha addon blockers dello script (ad esempio noscript ), se stai usando IE, puoi abilita il blocco degli script che renderebbe il motto qualsiasi javascript. Per quanto riguarda il monitoraggio del server di comunicazione, è possibile utilizzare netstat:

netstat -an | findstr 8080

Ciò funzionerebbe solo se chiunque avesse impostato una porta su 8080. La soluzione migliore sarebbe cambiare findtr in ESTA. Che mostrerà sessioni stabilite. Se c'è un browser con una sessione stabilita, puoi usare netstat con la variabile pid e guardare il PID nel task manager:

netstat -ano | findstr ESTA
    
risposta data 03.05.2016 - 21:06
fonte

Leggi altre domande sui tag