Impedir que el navegador se aproveche de BeEF

4

BeEF es una gran herramienta basada en navegador de explotación. Pero en algunos casos, sin saberlo, las personas se enganchan debido a la carne de res cuando se engancha. Js se mantiene en Iframe invisible de una fuente HTML. Entonces, ¿cómo podemos detectar que nuestro navegador está enganchado por el servidor de comunicación BeEF o no? Si hemos estado enganchados, ¿cuáles son las medidas para eliminar el gancho?

Además, ¿cómo podría el navegador de una persona infectada con BeEF revertir y encontrar el servidor de comunicación (el lugar donde se envía el tráfico saliente como el servidor: 8080 / ui / panel)

    
pregunta Gerorge Timber 03.05.2016 - 20:05
fuente

2 respuestas

3

SANS ISC ha enviado las reglas de Yara para detectar BeEF, y yarashop pueden reutilizarse para la capa de red como un Sistema de detección de alerta temprana. El autor muestra cómo utilizar Volatility para leer en una captura de memoria y buscar firmas y comunicaciones relacionadas con BeEF - enlace

Para eliminar un enlace de Javascript, como el BeEF, normalmente solo deberá borrar las páginas / pestañas, el historial y el caché antes de reiniciar todos los procesos del navegador. Sin embargo, en algunos escenarios de BeEF persistentes , también deberá considerar otras tiendas de navegadores fuera de línea, como el caché de HTML5 sin conexión. .

Tienes razón al querer buscar el BeEF, pero también querrás profundizar un poco más. Es fácil ofuscar el Javascript y puede ser difícil modificar sus detectores para detectar estas ofuscaciones. Otros paquetes de conexión de Javascript, como XSSF , Scanbox.js , o auxiliar / recolección / browser_info en lugar de BeEF.

Emerging Threats, recientemente adquirida por Proofpoint, tiene un conjunto de reglas Snort: enlace - muchos de los cuales cubren BeEF, XSS, Scanbox, et al. Especialmente querrá revisar los archivos emergentes-trojan.rules y Emergente-web_client.rules. Hay entradas específicas para BeEF y Scanbox, así como genéricas para capturar XSS activos desde la perspectiva del cliente (es decir, del navegador).

Aquí hay dos artículos que analizan cómo las comunidades de amenazas están convergiendo en estas tecnologías de conexión de Javascript: enlace - enlace

    
respondido por el atdre 03.05.2016 - 21:54
fuente
0

Si la única preocupación son los navegadores "hook.js" como Mozilla, Firefox tiene complementos de bloqueadores de script (por ejemplo, noscript ), si está utilizando IE, podría habilitar el bloqueo de script que haría que cualquier javascripts sea discutible. En cuanto al seguimiento del servidor de comunicaciones, podría usar netstat:

netstat -an | findstr 8080

Eso solo funcionaría si quien establece un puerto en 8080. Lo mejor sería cambiar findstr a ESTA. Que mostrará las sesiones establecidas. Si hay un navegador con una sesión establecida, puede usar netstat con la variable pid y mirar el PID en el administrador de tareas:

netstat -ano | findstr ESTA
    
respondido por el munkeyoto 03.05.2016 - 21:06
fuente

Lea otras preguntas en las etiquetas