浏览器自动化框架沦为攻击者的工具
字数 1429 2025-08-12 12:46:02

浏览器自动化框架(BAS)被恶意利用的分析与防范指南

1. 概述

Browser Automation Studio (BAS)是由Bablosoft开发的一款免费浏览器自动化框架,该工具正被越来越多的威胁参与者用于恶意活动。本指南将详细分析该工具的技术特性、被利用方式以及相应的防御措施。

2. BAS框架简介

BAS是一个允许用户使用浏览器、HTTP客户端、电子邮件客户端和其他库创建应用程序的自动化工具,主要功能包括:

  • 浏览器模拟功能
  • 用户行为模仿(击键和鼠标动作)
  • 代理服务器支持
  • 邮箱搜索功能
  • 从文件/URL/字符串加载数据的能力
  • 浏览器指纹修改功能

3. BAS被恶意利用的现状

3.1 关联的恶意软件家族

  • Bumblebee加载程序
  • BlackGuard窃取程序
  • RedLine窃取程序

3.2 恶意活动类型

  1. 撞库攻击(Brute Force Attacks)

    • 使用"bruters"工具执行自动化凭证填充攻击
    • 包含"gmail帐户检查器"等工具验证被盗凭据有效性

  2. 数据窃取

    • 窃取敏感信息和凭证
    • 通过Telegram API进行数据外传

  3. 加密劫持(Cryptojacking)

    • 利用fingerprints.bablosoft[.]com修改浏览器指纹
    • 用于匿名化或规范化恶意活动

  4. 招募工具(Recruiters)

    • 自动化寻找和招募潜在受害者

4. 技术分析

4.1 基础设施关联

  • 主要C2服务器: downloads.bablosoft[.]com

    • IP地址: 46.101.13.144
    • 主要活动来源: 俄罗斯和乌克兰

  • 指纹服务器: fingerprints.bablosoft[.]com

4.2 社区生态

  • 非官方Telegram群组: "Bablosoft - BAS chat"
    • 超过1000名用户
    • 主要由俄语使用者组成
    • 用于分享新功能、脚本和技巧

5. 防御措施

5.1 网络层防护

  1. 封锁相关域名和IP

    • downloads.bablosoft[.]com
    • fingerprints.bablosoft[.]com
    • 46.101.13.144

  2. 监控异常流量

    • 关注与上述基础设施的连接尝试
    • 检测异常的自动化浏览器行为

5.2 终端防护

  1. 行为检测

    • 监控浏览器自动化行为模式
    • 检测异常的用户行为模拟(如非人类击键模式)

  2. 应用控制

    • 限制未知自动化工具的安装和执行
    • 实施最小权限原则

5.3 账户安全

  1. 多因素认证(MFA)

    • 对所有关键账户启用MFA
    • 防止撞库攻击成功

  2. 异常登录检测

    • 监控来自异常地理位置或设备的登录尝试
    • 实施基于风险的认证机制

5.4 安全意识培训

  1. 识别钓鱼尝试

    • 培训员工识别自动化钓鱼工具生成的邮件

  2. 密码管理

    • 推广使用密码管理器
    • 避免密码重复使用

6. 监测指标(IoCs)

  • 域名:

    • downloads.bablosoft[.]com
    • fingerprints.bablosoft[.]com

  • IP地址:

    • 46.101.13.144

  • 工具特征:

    • BAS生成的自动化脚本
    • 异常浏览器指纹修改行为
    • 非人类用户行为模式

7. 未来趋势预测

基于当前分析,BAS预计将成为威胁参与者工具包中更常见的元素,原因包括:

  1. 低技术门槛:故意保持易用性以吸引广泛用户
  2. 活跃社区支持:持续的功能更新和脚本共享
  3. 分发模式:易于获取和定制化

安全团队应持续关注BAS相关的新攻击手法,及时更新防御策略。

浏览器自动化框架(BAS)被恶意利用的分析与防范指南 1. 概述 Browser Automation Studio (BAS)是由Bablosoft开发的一款免费浏览器自动化框架,该工具正被越来越多的威胁参与者用于恶意活动。本指南将详细分析该工具的技术特性、被利用方式以及相应的防御措施。 2. BAS框架简介 BAS是一个允许用户使用浏览器、HTTP客户端、电子邮件客户端和其他库创建应用程序的自动化工具,主要功能包括: 浏览器模拟功能 用户行为模仿(击键和鼠标动作) 代理服务器支持 邮箱搜索功能 从文件/URL/字符串加载数据的能力 浏览器指纹修改功能 3. BAS被恶意利用的现状 3.1 关联的恶意软件家族 Bumblebee加载程序 BlackGuard窃取程序 RedLine窃取程序 3.2 恶意活动类型 撞库攻击(Brute Force Attacks) 使用"bruters"工具执行自动化凭证填充攻击 包含"gmail帐户检查器"等工具验证被盗凭据有效性 数据窃取 窃取敏感信息和凭证 通过Telegram API进行数据外传 加密劫持(Cryptojacking) 利用fingerprints.bablosoft[ . ]com修改浏览器指纹 用于匿名化或规范化恶意活动 招募工具(Recruiters) 自动化寻找和招募潜在受害者 4. 技术分析 4.1 基础设施关联 主要C2服务器 : downloads.bablosoft[ . ]com IP地址: 46.101.13.144 主要活动来源: 俄罗斯和乌克兰 指纹服务器 : fingerprints.bablosoft[ . ]com 4.2 社区生态 非官方Telegram群组 : "Bablosoft - BAS chat" 超过1000名用户 主要由俄语使用者组成 用于分享新功能、脚本和技巧 5. 防御措施 5.1 网络层防护 封锁相关域名和IP downloads.bablosoft[ . ]com fingerprints.bablosoft[ . ]com 46.101.13.144 监控异常流量 关注与上述基础设施的连接尝试 检测异常的自动化浏览器行为 5.2 终端防护 行为检测 监控浏览器自动化行为模式 检测异常的用户行为模拟(如非人类击键模式) 应用控制 限制未知自动化工具的安装和执行 实施最小权限原则 5.3 账户安全 多因素认证(MFA) 对所有关键账户启用MFA 防止撞库攻击成功 异常登录检测 监控来自异常地理位置或设备的登录尝试 实施基于风险的认证机制 5.4 安全意识培训 识别钓鱼尝试 培训员工识别自动化钓鱼工具生成的邮件 密码管理 推广使用密码管理器 避免密码重复使用 6. 监测指标(IoCs) 域名 : downloads.bablosoft[ . ]com fingerprints.bablosoft[ . ]com IP地址 : 46.101.13.144 工具特征 : BAS生成的自动化脚本 异常浏览器指纹修改行为 非人类用户行为模式 7. 未来趋势预测 基于当前分析,BAS预计将成为威胁参与者工具包中更常见的元素,原因包括: 低技术门槛 :故意保持易用性以吸引广泛用户 活跃社区支持 :持续的功能更新和脚本共享 分发模式 :易于获取和定制化 安全团队应持续关注BAS相关的新攻击手法,及时更新防御策略。