ブラウザがBeEFを利用できないようにする
BeEFは、ブラウザベースの優れたエクスプロイトツールです。しかし、場合によっては、hook.jsがHTMLソースの非表示のiframeに保持されていると、無意識のうちにビーフが原因でフックされることがあります。では、ブラウザが実際にBeEF Communicationサーバーによってフックされているかどうかをどのように検出できますか?フックされている場合、フックを削除するための対策よりも何ですか?
さらに、BeEFに感染した人のブラウザが通信サーバー(サーバー:8080/ui/panelのように送信トラフィックが送信される場所)を逆にして見つけ出すにはどうすればよいでしょうか。
SANS ISCから提出されたBeEFを検出するためのYaraルールがあり、これらは yarashop によってネットワーク層の早期警告検出システムとして再利用できます。著者は、Volatilityを使用してメモリキャプチャを読み取り、BeEF関連の署名と通信を探す方法を示しています- https://isc.sans.edu/diary/When+Hunting+BeEF %2C + Yara + rules +%28Part + 2%29/20505
BeEFなどのJavascriptフックを削除するには、通常、すべてのブラウザープロセスを再起動する前に、再度開いているページ/タブ、履歴、キャッシュをクリアするだけで済みます。ただし、一部の 永続的なBeEFシナリオ では、HTML5オフラインキャッシュなど、他のオフラインブラウザーストアも検討する必要があります。
BeEFを探すのは当然ですが、もう少し深く掘り下げることもできます。 JavaScriptを難読化するのは簡単であり、検出器を変更してこれらの難読化をキャッチするのは難しい場合があります。 [〜#〜] xssf [〜#〜] 、 Scanbox.jsなどの他のJavascriptフックパッケージ 、またはmetasploit-frameworkのauxiliary/gather / browser_info モジュールをBeEFの代わりに利用できます。
最近Proofpointが取得した新たな脅威には、一連のSnortルールがあります- https://rules.emergingthreats.net/open/snort-2.9.0/rules/ -BeEF、XSS、Scanboxなどの多くをカバーしています。特に、eminging-trojan.rulesファイルとrising-web_client.rulesファイルを確認する必要があります。 BeEFとScanboxには特定のエントリがあり、クライアント(ブラウザなど)の観点からアクティブなXSSをキャッチするための一般的なエントリもあります。
脅威コミュニティがこれらのJavascript-hookingテクノロジーにどのように収束しているかを説明する2つの記事- https://www.helpnetsecurity.com/2016/04/28/attackers-use-open- source / - http://www.securityweek.com/attackers-increasingly-abuse-open-source-security-tools
Mozillaなどの「hook.js」ブラウザのみが問題である場合、Firefoxにはスクリプトブロッカーアドオンがあります(例 noscript )。IEを使用している場合は スクリプトブロックを有効にする = javascripts mootをレンダリングします。通信サーバーの追跡に関しては、netstatを使用できます。
netstat -an | findstr 8080
これは、ポートを8080に設定した場合にのみ機能します。findstrをESTAに変更することをお勧めします。確立されたセッションが表示されます。セッションが確立されているブラウザーがある場合は、pid変数を指定してnetstatを使用し、タスクマネージャーでPIDを確認できます。
netstat -ano | findstr ESTA