Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter.

EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻

Fonctionnalités clés annoncées:

  • Création et gestion de multiples instances de conteneurs neko (navigateurs accessibles via WebRTC).
  • Routage centralisé via NGINX depuis un seul domaine vers les différents conteneurs.
  • Pré‑chargement d’un payload d’extension Chrome (non fourni par défaut).

Pré-requis et usage (exemples fournis dans l’annonce, à des fins de test autorisé):

  • Fonctionne sous Linux ou macOS; nécessite docker, docker‑compose, flask et NGINX.
  • L’utilisateur doit « apporter son propre payload » sous forme d’extension Chrome dépaquetée à placer dans lures/extension.
  • Exemples d’usage: exécution de python EvilNeko.py, configuration du domaine (set_domain <votre domaine> ou 127.0.0.1 pour test), définition de l’URL à ouvrir (ex. set_url login.microsoft.com), création d’“appâts” (create_lure 2), démarrage des handlers Flask/NGINX (start_handler), destruction (destroy_lure all).

Positionnement: le projet précise qu’il n’est pas destiné à un usage malveillant, mais à des tests autorisés. Il n’inclut pas de payload propre; un exemple d’usage avec un agent Mythic est mentionné sur le blog de l’auteur.

IOCs et TTPs:

  • IOCs: aucun indicateur fourni.
  • TTPs:
    • Browser‑in‑the‑Browser (BITB) pour l’émulation d’interfaces de connexion factices.
    • Navigateurs conteneurisés via neko (accès WebRTC).
    • Routage NGINX multi‑instances depuis un domaine unique.
    • Extensions Chrome comme vecteur/payload pré‑chargé.
    • Orchestration par commandes pour créer/détruire des « lures » et gérer les handlers.

Type d’article: annonce de projet axée sur un nouvel outil destiné à l’émulation et à l’orchestration de techniques BITB.

🔗 Source originale : https://github.com/CorvraLabs/EvilNeko