Articles

Meterpreter

On 8 listopadu, 2021 by

Meterpreter je útočné zatížení Metasploitu, které poskytuje interaktivní shell, z něhož může útočník zkoumat cílový počítač a spouštět kód. Meterpreter je nasazen pomocí injektáže knihovny DLL v paměti. V důsledku toho se Meterpreter nachází výhradně v paměti a nic nezapisuje na disk. Nejsou vytvářeny žádné nové procesy, protože Meterpreter se injektuje do napadeného procesu, ze kterého může migrovat do jiných běžících procesů. V důsledku toho je forenzní stopa útoku velmi omezená.

Meterpreter byl navržen tak, aby obešel nevýhody použití specifických užitečných zátěží a zároveň umožnil zápis příkazů a zajistil šifrovanou komunikaci. Nevýhodou použití specifických payloadů je, že při spuštění nového procesu v cílovém systému může dojít ke spuštění alarmů.

Metepreter byl původně napsán pro Metasploit 2.x autorem Skape, což je hackerská přezdívka používaná Mattem Millerem. Společná rozšíření byla sloučena pro verzi 3.x a v současné době prochází přepracováním pro Metasploit 3.3.

Jak Meterpreter funguje?

Meterpreter je užitečné zatížení útoku Metasploit, které útočníkovi poskytuje interaktivní shell, z něhož může zkoumat cílový počítač a spouštět kód. Meterpreter je nasazen pomocí injektáže knihovny DLL v paměti. V důsledku toho se Meterpreter nachází výhradně v paměti a nic nezapisuje na disk. Nejsou vytvářeny žádné nové procesy, protože Meterpreter se injektuje do napadeného procesu, ze kterého může migrovat do jiných běžících procesů.

Jaké jsou cíle Meterpreteru?

Meterpreter byl navržen tak, aby obešel nevýhody používání specifických užitečných zátěží a zároveň umožnil zápis příkazů a zajistil šifrovanou komunikaci. Nevýhodou používání specifických užitečných zatížení je, že při spuštění nového procesu v cílovém systému může dojít ke spuštění alarmů. V ideálním případě by užitečné zatížení mělo zabránit vytvoření nového procesu a obsahovat veškerou činnost v rámci rozsahu samotného užitečného zatížení. Mělo by umožňovat psaní skriptů, ale bez vytváření nových souborů na disku, protože to by mohlo spustit antivirový software.

Co je Meterpreter Reverse_tcp?

Meterpreter používá shell reverse_tcp, což znamená, že se připojuje k posluchači na počítači útočníka. Existují dva populární typy shellů: bind a reverse. Bind shell otevírá novou službu na cílovém počítači a vyžaduje, aby se k ní útočník připojil, aby mohl zahájit relaci. Reverzní shell (známý také jako zpětné připojení) vyžaduje, aby útočník nejprve nastavil posluchače, ke kterému se může cílový počítač připojit.

Co znamená Payload?

Modul exploitu, jeden ze tří typů (singles, stagers, stages) používaných frameworkem Metasploit.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.