Se un'email di phishing è arrivata con un link a un sito web che ospita BeEF (o un altro framework di questo tipo) quali sarebbero gli indicatori di compromesso per un simile attacco.
Inoltre, se i sistemi fossero compromessi quale sarebbe la migliore strategia per mitigarla.
Vorrei innanzitutto assicurarmi di comprendere appieno cosa sia Beef e a cosa serve. Beef è uno strumento per eseguire lo sfruttamento in scenari Man-In-The-Browser. L'essenza di questo è il browser di un utente che esegue lo script hook di manzo (tramite xss, o nel tuo scenario, un sito di phishing), lo script chiama quindi al server Beef e il server è quindi in grado di inviare comandi javascript arbitrari verso il basso al browser. Il risultato finale è che l'attaccante controlla la finestra del browser dell'utente e può fare quasi tutto ciò che l'utente può fare. Beef non è tanto un attacco specifico quanto un veicolo per eseguire altri attacchi.
Gli IoC dipendono da ciò che l'attaccante ha fatto con esso. In minima parte probabilmente troverai alcuni artefatti JavaScript e forse alcune acquisizioni di pacchetti potrebbero trovare chiamate al server Beef. Se gli hacker avessero usato Beef per installare malware, ci sarebbero stati IoC per quel particolare malware.
Attenuare una sessione di manzo attiva è facile. Chiudi il browser. Se l'hacker ha utilizzato Beef per installare malware, ciò richiederà una mitigazione specifica per quel malware.
Leggi altre domande sui tag beef browser-hijacking