Новое расширение Chrome блокирует BeEF-атаки

Один ИБ-исследователь и инженер разработал новый способ борьбы с атаками, использующими фреймворк эксплуатации браузеров (Browser Exploitation Framework, BeEF).

Созданный им инструмент, расширение Chrome, обнаруживает и блокирует функции-перехватчики, используемые BeEF — инструментом эксплуатации, схожим с метасплоитом, использующим JavaScript для управления браузерами. BeEF имеет многофункциональную панель управления, с помощью которой ИБ-исследователи, пентестеры и атакующие могут инициировать нужный им тип атаки или выкачивание данных.

блокирует BeEF-атаки

Брайан Уоллес (Brian Wallace), ИБ-исследователь и инженер из команды SPEAR компании Cylance, в минувшую среду выпустил в Chrome Store расширение с хитроумным названием Vegan.

Уоллес в блог-записи компании отметил, что Vegan — PoC-утилита с открытым исходным кодом и, хотя она может обнаружить и заблокировать атаки, она не способна полностью их остановить.

Связано это с тем, что утилита построена на базе правила Snort, обход которого не составит атакующему большого труда. Это правило ищет соединения между HTTP-клиентами и удаленными HTTP-серверами и помогает обнаружить использование BeEF с дефолтными настройками или через незащищенное HTTP-соединение.

Если атакующий решит внести изменения в конфигурационный файл или изменить название куки, используемого Vegan, то обойдет правило Snort.

«Рассмотрев конфигурационный файл BeEF, мы увидим, что можем изменять множество значений, не только название куки Vegan, но и других тоже», — пишет Уоллес.

Он признает, что его утилита небезотказна. Разработчики BeEF могут вносить изменения в утилиту, чтобы избегать обнаружения при помощи Vegan, и Уоллес предупредил, что использовать его расширение следует на свой страх и риск.

Пока утилита работает. Помимо обнаружения утилита Уоллеса имеет механизм блокировки, предотвращающий попытки домена внести изменения в куки, детектируемый Vegan.

«Хотя обнаружить атаку важно, пользователь лишь узнает, что он теперь во власти злоумышленника и сделать уже ничего не может, — пишет эксперт. — Блокировка же помешает браузеру выйти на связь с панелью BeEF».

Идея создать расширение пришла Уоллесу в голову, поскольку он, как фанат BeEF, хотел узнать, когда именно он подвергается перехвату.

«BeEF — это полезный инструмент как для ИБ-исследователей, предпочитающих более агрессивный подход и желающих протестировать различные атаки на браузеры, так и для того, чтобы получить расширенный доступ при пентесте. Хотя эта утилита весьма известна, о методах защиты от нее почти нет информации», — подытожил Уоллес.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Новое расширение Chrome блокирует BeEF-атаки