振る舞うという新しいブラウザ拡張機能!Web サイトがスクリプトを使用して、ネットワーク上のローカルおよびプライベート IP アドレスに対してスキャンや攻撃を実行している場合は、警告が表示されます。
Web を参照する際、Web ページに埋め込まれたスクリプトを使用して、訪問者のコンピュータを開いている TCP ポートをポート スキャンするだけでなく、ネットワーク上の他のデバイスへの攻撃を開始することもできます。
5月には、eBay、シティバンク、TDバンクなどの有名なサイトが訪問者のコンピュータをポートスキャンして、その上で実行されているWindowsリモートアクセスプログラムを識別することが判明しました。
eBay ポートスキャンサイト
ソース: ブリーピングコンピュータ
このポートスキャンは、サイトを使用しようとしている潜在的にハッキングされたコンピュータを検出するために使用される詐欺防止スクリプトによって行われました。 ソース: ブリーピングコンピュータ
正当な理由で行われている間、ポートスキャンされているユーザーは、侵入的でプライバシー侵害を見つけます。
さらに悪いことに、悪意のあるアクターは、Web サイトに埋め込まれた JavaScript を使用して DNS 再バインド攻撃を実行します。
DNS 再バインド攻撃は、DNS 解決が短い TTL を介して操作され、被害者のコンピュータを使用して同じ発信元ポリシー (SOP) をバイパスし、内部ネットワーク上の他のデバイスに対する攻撃を開始する場所です。
これらの攻撃は、ルータ、IoT デバイス、および 脆弱なソフトウェアを実行することが知られている他の内部コンピュータに対して使用される一般的な です。
行きの行き見を入力してください!ブラウザ拡張機能
ステファノ・ディ・パオラ、共同創設者、CTO、マインドセキュリティのチーフサイエンティスト、ベベ動作によって作成されました!ブラウザ拡張機能は、訪問者のコンピュータ上でローカル攻撃やスキャンを実行するためにブラウザ機能を悪用するWebサイトのユーザーに警告する実験として生まれました「振る舞う!これらの機能の一部を乱用する可能性のある Web ページの動作に関する概念的な実験として生まれました。これからも、意識を高めるのに役立つ長期的なプロジェクトになるかもしれない」と語った。
「例えば、ローカルポートスキャン、クロスプロトコル攻撃、DNS再バインドは、Webエコシステムのコア機能を乱用しているため、ブラウザベンダーによってまだ可能であり、完全に「修正」することは困難な非常に古い攻撃です。
インストールすると、振る舞う!次のブロックに属する IP アドレスにアクセスしようとするスクリプトを監視します。
- ループバック アドレス IPv4 127.0.0.1/8
- ループバック アドレス IPv6 ::1/128
- プライベート ネットワーク IPv4 10.0.0.0/8 172.16.0.0/12 - 192.168.0.0/16
- 一意のローカル アドレス IPv6 fc00::/7
動作!eBay からのポートスキャンの警告
拡張機能は、動作が検出されたときにブラウザー通知を表示するように構成することもできます。
ブラウザ通知
拡張機能のバグが DNS 再バインドアラートで誤検出を引き起こす可能性があり、ディ Paola は修正に取り組んでいます。 行き振る舞い!拡張機能は、クロムとFirefoxの両方のために利用可能であり、ディパオラは、彼がエッジとサファリのためにそれをリリースしたいと私たちに言いました。
将来追加したいと考えている機能には、「ローカル接続を実行すると予想されるホワイトリストのウェブページ/ホスト名」や「不審なアクションを実行するコードを追跡する」機能などがあります。
あなたが訪問するウェブサイトからの潜在的に虐待的な行動について警告されることに興味がある人のために、振る舞ってください!インストールする興味深い拡張機能です。
ー以下原文ー
A new browser extension called Behave! will warn you if a web site is using scripts to perform scans or attacks on local and private IP addresses on your network.
When browsing the web, scripts embedded on web pages can be used to not only port scan a visitor's computer for open TCP ports, but also initiate attacks on other devices on your network.
In May, it was discovered that well-known sites such as eBay, Citibank, TD Bank, and more would port scan a visitor's computer to identify Windows remote access programs running on it.
eBay port scanning a site
Source: BleepingComputer
Source: BleepingComputer
This port scanning was conducted by the LexisNexis' ThreatMetrix fraud protection script used to detect potentially hacked computers trying to use the site.
While done for good reasons, users who are being port scanned rightfully find them intrusive and a privacy violation.
Even worse, malicious actors will also use JavaScript embedded on web sites to perform DNS Rebinding attacks.
DNS Rebinding attacks are where the DNS resolution is manipulated through short TTLs to use a victims' computer to bypass Same Origin Policy (SOP) and launch attacks against other devices on an internal network.
These attacks are commonly used against routers, IoT devices, and even other internal computers known to run vulnerable software.
Enter the Behave! browser extension
Created by Stefano Di Paola, co-founder, CTO, and Chief Scientist of MindedSecurity, the Behave! browser extension was born as an experiment to warn users of web sites that abuse browser features to perform local attacks or scans on a visitor's computer
"Behave! was born as a conceptual experiment around the behavior of web pages that might abuse some of those features, and if the interest on Behave! keeps raising, it might hopefully be a long lasting project to help raising awareness."
"For example local Port Scan, Cross Protocol attacks, DNS rebinding are very old attacks that are still possible and difficult to completely "fix" by browser vendors because they abuse core features of the Web ecosystem," Di Paola told BleepingComputer via email.
When installed, Behave! will monitor for scripts that attempt to access IP addresses belonging to the following blocks:
- Loopback addresses IPv4 127.0.0.1/8
- Loopback addresses IPv6 ::1/128
- Private Networks IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16
- Unique Local Addresses IPv6 fc00::/7
If detected, the extension's icon will show a red indicator, and when clicked on, will list the activity conducted by the site.
Behave! warning of port scans from eBay
The extension can also be configured to show browser notifications when concerning behavior is detected.
Browser notification
It should be noted that a bug in the extension may cause false positives on the DNS Rebinding alerts, and Di Paola is working on a fix.
The Behave! extension is available for both Chrome and Firefox, and Di Paola has told us that he hopes to release it for Edge and Safari.
Some features that Di Paola hopes to add in the future include "white listing web pages/hostnames that are expected to perform local connections" and the ability to "track back the code performing the suspicious actions."
For those interested in being warned about potentially abusive behavior from web sites you visit, Behave! is an interesting extension to install.