SANS ISC ha enviado las reglas de Yara para detectar BeEF, y yarashop pueden reutilizarse para la capa de red como un Sistema de detección de alerta temprana. El autor muestra cómo utilizar Volatility para leer en una captura de memoria y buscar firmas y comunicaciones relacionadas con BeEF - enlace
Para eliminar un enlace de Javascript, como el BeEF, normalmente solo deberá borrar las páginas / pestañas, el historial y el caché antes de reiniciar todos los procesos del navegador. Sin embargo, en algunos escenarios de BeEF persistentes , también deberá considerar otras tiendas de navegadores fuera de línea, como el caché de HTML5 sin conexión. .
Tienes razón al querer buscar el BeEF, pero también querrás profundizar un poco más. Es fácil ofuscar el Javascript y puede ser difícil modificar sus detectores para detectar estas ofuscaciones. Otros paquetes de conexión de Javascript, como XSSF , Scanbox.js , o auxiliar / recolección / browser_info en lugar de BeEF.
Emerging Threats, recientemente adquirida por Proofpoint, tiene un conjunto de reglas Snort: enlace - muchos de los cuales cubren BeEF, XSS, Scanbox, et al. Especialmente querrá revisar los archivos emergentes-trojan.rules y Emergente-web_client.rules. Hay entradas específicas para BeEF y Scanbox, así como genéricas para capturar XSS activos desde la perspectiva del cliente (es decir, del navegador).
Aquí hay dos artículos que analizan cómo las comunidades de amenazas están convergiendo en estas tecnologías de conexión de Javascript: enlace
- enlace