ИБ-исследователь и инженер разработал новый способ борьбы с атаками, использующими фреймворк эксплуатации браузеров (Browser Exploitation Framework, BeEF).

Созданный им инструмент, расширение Chrome, обнаруживает и блокирует функции-перехватчики, используемые BeEF — инструментом, схожим с Metasploit, использующим JavaScript для контроля над браузерами. BeEF имеет многофункциональную панель управления, с помощью которой ИБ-исследователи, пентестеры и атакующие могут инициировать атаку или выкачивание данных.

Брайан Уоллес (Brian Wallace), ИБ-исследователь и инженер из команды SPEAR компании Cylance, в минувшую среду выпустил в Chrome Store расширение с говорящим названием Vegan (вегетарианец).

Уоллес в блог-записи компании отметил, что Vegan — PoC-утилита с открытым исходным кодом, и хотя она может обнаружить и заблокировать атаку, она не способна полностью ее остановить.

Связано это с тем, что утилита построена на базе сокращенного правила Snort, обход которого не составит атакующему большого труда. Это правило ищет соединения между HTTP-клиентами и удаленными HTTP-серверами и помогает обнаружить использование BeEF с дефолтными настройками или через незащищенное HTTP-соединение.

Если атакующий решит внести изменения в конфигурационный файл или изменить название куки, используемого Vegan, то обойдет правило Snort.

«Рассмотрев конфигурационный файл BeEF, мы увидим, что можем изменять множество значений, не только имя куки Vegan, но и другие тоже», — пишет Уоллес.

Он признает, что его утилита небезотказна. Разработчики BeEF могут вносить изменения в утилиту, чтобы избегать обнаружения при помощи Vegan, и Уоллес предупредил, что использовать его расширение следует на свой страх и риск.

Пока утилита работает. Помимо обнаружения, утилита Уоллеса имеет механизм блокировки, предотвращающий попытки домена задать куки, детектируемый Vegan.

«Хотя обнаружить атаку важно, пользователь лишь узнает, что он теперь во власти злоумышленника и сделать уже ничего не может, — пишет эксперт. — Блокировка же предотвратит коммуникации браузера с панелью BeEF».

Идея создать расширение пришла Уоллесу в голову, поскольку он, как фанат BeEF, хотел узнать, когда именно браузер подвергается перехвату.

«BeEF — это полезный инструмент для ИБ-исследователей, предпочитающих более агрессивный подход и желающих протестировать различные атаки на браузеры или получить расширенный доступ при пентесте. Хотя эта утилита весьма известна, о методах защиты от нее почти нет информации», — подытожил Уоллес.

Категории: Уязвимости