Networkforensic

Threat hunting

Brave Browser

 22 Februar 2021  - Blog Post # 792

Brave Browser
Endnu en ny browser, men med indbygget muligheder til at tilgå cryptowallets og TOR onion links direkte og ret automatisk. Browseren er egenteligt meget fed efter min mening om den er sikker aner jeg ikke meget om. Det vil tiden vise. Men man skal nok være lidt vågen såfremt, man ikke tillader så mange forskellige browser's i sin virksomhed.

Security Onion - JA3
Den er ret nem at finde med JA3 og jeg har frigivet en IDS rule der også burde kunne finde den. Typisk vil man også se den trigger sammen med min seneste frigivet TOR ids rule, da den bruger samme implementering af TOR på TLS.

IOC'er
IMPHASH=17390E7DDF68282647C26E8AFB208794
JA3: b32309a26951912be7dba376398abc3b
Files: brave.exe, braveupdate.exe

Domæner
brave[.]com
crlsets[.]brave[.]com
go-updater[.]brave[.]com
laptop-updates[.]brave[.]com
p3a[.]brave[.]com
rewards[.]brave[.]com
static[.]brave[.]com
variations[.]brave[.]com
brave-core-ext[.]s3[.]brave[.]com
componentupdater[.]brave[.]com
safebrowsing[.]brave[.]com
static1[.]brave[.]com
www[.]torproject[.]org
updates[.]bravesoftware[.]com

Følgende SRP rules kan benyttes såfremt man ikke ønsker Brave
%PROGRAMFILES(X86)%\BraveSoftware\Update

IDS rule frigivet
Virker uden fejl og falske positiver. Typisk ser man også TOR trafik til samme IP'er.

 NF IDS Rules
5 Latest Updates   

Brave Browser

TOR-Brower 10.x

Shodan Scanning rules

Suspicious User agent

Smokeloader

Download