Le boeuf est un excellent outil basé sur le navigateur d'exploitation. Mais dans certains cas, des personnes inconsciemment sont accrochées en raison du bœuf lorsqu'il est Hook.js est conservé dans une iframe invisible d'une source HTML. Alors, comment, pouvons-nous détecter que notre navigateur est en fait accroché par le serveur de communication de boeuf ou non? Si nous avons été accrochés, quelles sont les mesures pour supprimer le crochet?
De plus, comment le navigateur d'une personne a-t-il pu inverser et trouver un serveur de communication informatique (le lieu où le trafic sortant est envoyé comme serveur: 8080/UI/Panel)
Il existe des règles de Yara soumises par SANS ISC pour détecter le bœuf, et celles-ci pourraient être réduites par Yarashop pour la couche de réseau en tant que système de détection d'alerte précoce. L'auteur montre comment utiliser la volatilité à lire dans une capture de mémoire et rechercher des signatures et des communications liées au bœuf https://csans.edu/diar/when+Hunting+beef%2c+yara+ Règles +% 28Part + 2% 29/20505
Afin de retirer un crochet JavaScript, tel que le bœuf, vous n'avez généralement besoin que d'effacer les pages/onglets de réouverture, l'historique et le cache avant de redémarrer tous les processus de navigateur. Cependant, dans certains scénarios de bœuf persistants , vous devrez également envisager d'autres magasins de navigateurs hors ligne, tels que le cache HTML5 hors ligne.
Vous avez raison de vouloir chercher du bœuf, mais vous voudrez également creuser un peu plus profondément. Il est facile d'obscurier JavaScript et peut être difficile de modifier vos détecteurs pour attraper ces obscurces. D'autres packages javascript-raccordement, tels que - [~ # ~] xssf [~ # ~ ~] , scanbox.js ou les auxiliaires/à la fraîcheur/- Browser_info Module peut être utilisé au lieu de boeuf.
Les menaces émergentes, récemment acquises par une épreuve de protection, disposent d'un ensemble de règles de renonciation - https://roules.emergingTheatS.net/open/snort-2.9.0/rules/ - Beaucoup de couvre le boeuf , XSS, ScanBox, et al. Vous voudrez particulièrement vérifier les fichiers émergents-trojan.rules et émergents-web_client.rules. Il existe des entrées spécifiques pour le bœuf et la ScanBox, ainsi que des génériques pour attraper des XSS actifs du point de vue du client (I.e., Navigateur).
Voici deux articles qui discutent de la manière dont les communautés menacées convergentes sur ces technologies javascript-harocking https://www.helpsecurity.com/2016/04/28/attance-utilisation-open-source/ - http://www.securityweek.com/attackers-Ancoreverly-abuse-open-source-security-Tools
Si la seule préoccupation est des navigateurs "hook.js" tels que Mozilla, Firefox ont des advons-addons de script (par exemple Noscript ), si vous utilisez IE, vous pouvez activer le blocage de script = Ce qui rendrait des javascripts mousse. En ce qui concerne le suivi du serveur de communication, vous pouvez utiliser netstat:
netstat -an | findstr 8080
Cela ne fonctionnerait que si quiconque a défini un port sur 8080. Votre meilleur pari serait de changer de recherche à l'ESTA. Qui montrera des sessions établies. S'il y a un navigateur avec une session établie, vous pouvez utiliser NetStat avec la variable PID et regarder le PID dans le gestionnaire de tâches:
netstat -ano | findstr ESTA