Нове розширення Chrome блокує BeEF-атаки

Один ІБ-дослідник і інженер розробив новий спосіб боротьби з атаками, які використовують фреймворк експлуатації браузерів (Browser Exploitation Framework, BeEF).

Створений ним інструмент, розширення Chrome, виявляє і блокує функції-перехоплювачі, які використовуються BeEF – інструментом експлуатації, схожим з метасплоітом, що використовують JavaScript для управління браузерами. BeEF має багатофункціональну панель управління, за допомогою якої ІБ-дослідники, пентестери і атакуючі можуть ініціювати потрібний їм тип атаки або викачування даних.

Брайан Уоллес (Brian Wallace), ІБ-дослідник і інженер з команди SPEAR компанії Cylance, в минулу середу випустив в Chrome Store розширення з хитромудрою назвою Vegan.

Уоллес в блог-запису компанії зазначив, що Vegan – PoC-утиліта з відкритим вихідним кодом і, хоча вона може виявити і заблокувати атаки, вона не здатна повністю їх зупинити.

Пов’язано це з тим, що утиліта побудована на базі правила Snort, обхід якого не складе атакуючому великих труднощів. Це правило шукає з’єднання між HTTP-клієнтами і віддаленими HTTP-серверами і допомагає виявити використання BeEF з дефолтними настройками або через незахищене HTTP-з’єднання.

Якщо атакуючий вирішить внести зміни в конфігураційний файл або змінити назву куки, використовуваного Vegan, то обійде правило Snort.

«Розглянувши конфігураційний файл BeEF, ми побачимо, що можемо змінювати безліч значень, не тільки назва куки Vegan, а й інших теж», – пише Уоллес.

Він визнає, що його утиліта небезотказна. Розробники BeEF можуть вносити зміни в утиліту, щоб уникати виявлення за допомогою Vegan, і Уоллес попередив, що використовувати його розширення слід на свій страх і ризик.

Поки утиліта працює. Крім виявлення утиліта Уоллеса має механізм блокування, що запобігає спроби домену внести зміни в куки, що детектується Vegan.

«Хоча виявити атаку важливо, користувач лише дізнається, що він тепер у владі зловмисника і зробити вже нічого не може, – пише експерт. – Блокування ж завадить браузеру вийти на зв’язок з панеллю BeEF ».

Ідея створити розширення прийшла Воллесу в голову, оскільки він, як фанат BeEF, хотів дізнатися, коли саме він піддається перехопленню.

«BeEF – це корисний інструмент як для ІБ-дослідників, що вважають за краще більш агресивний підхід і бажаючих протестувати різні атаки на браузери, так і для того, щоб отримати розширений доступ при пентесте. Хоча ця утиліта досить відома, про методи захисту від неї майже немає інформації », – підсумував Уоллес.

Ссылка на основную публикацию