Articles

Meterpreter

On november 8, 2021 by

Meterpreter er en Metasploit-angrebspayload, der giver en interaktiv shell, hvorfra en angriber kan udforske målmaskinen og eksekvere kode. Meterpreter udrulles ved hjælp af in-memory DLL-injektion. Som følge heraf befinder Meterpreter sig udelukkende i hukommelsen og skriver intet til disken. Der oprettes ingen nye processer, da Meterpreter injicerer sig selv i den kompromitterede proces, hvorfra den kan overgå til andre kørende processer. Som følge heraf er det kriminaltekniske fodaftryk af et angreb meget begrænset.

Meterpreter blev designet til at omgå ulemperne ved at bruge specifikke nyttelaster, samtidig med at den muliggør skrivning af kommandoer og sikrer krypteret kommunikation. Ulempen ved at bruge specifikke nyttelaster er, at der kan udløses alarmer, når en ny proces starter i målsystemet.

Metepreter blev oprindeligt skrevet til Metasploit 2.x af Skape, et hacker-navn, der bruges af Matt Miller. Fælles udvidelser blev slået sammen til 3.x og er i øjeblikket under en overhaling til Metasploit 3.3.

Hvordan virker Meterpreter?

Meterpreter er en Metasploit-angrebsnyttelast, der giver en interaktiv shell til angriberen, hvorfra denne kan udforske målmaskinen og udføre kode. Meterpreter anvendes ved hjælp af in-memory DLL-injektion. Som følge heraf befinder Meterpreter sig udelukkende i hukommelsen og skriver intet til disken. Der oprettes ingen nye processer, da Meterpreter injicerer sig selv i den kompromitterede proces, hvorfra den kan migrere til andre kørende processer.

Hvad er Meterpreter’s mål?

Meterpreter blev designet til at omgå ulemperne ved at bruge specifikke nyttelaster, samtidig med at det blev muligt at skrive kommandoer og sikre krypteret kommunikation. Ulempen ved at anvende specifikke nyttelaster er, at der kan udløses alarmer, når en ny proces starter i målsystemet. Ideelt set bør en nyttelast undgå oprettelse af en ny proces og indeholde al aktivitet inden for selve nyttelastens anvendelsesområde. Den bør gøre det muligt at skrive scripts, men uden at oprette nye filer på disken, da dette kan udløse antivirusprogrammet.

Hvad er Meterpreter Reverse_tcp?

Meterpreter bruger en reverse_tcp shell, hvilket betyder, at den opretter forbindelse til en lytter på angriberens maskine. Der findes to populære typer af shells: bind og reverse. En bind shell åbner en ny tjeneste på målmaskinen og kræver, at angriberen opretter forbindelse til den for at starte en session. En reverse shell (også kendt som en connect-back) kræver, at angriberen først opretter en lytter, som målmaskinen kan oprette forbindelse til.

Hvad betyder nyttelast?

Et exploit-modul, en af de tre typer (singles, stagers, stages), der anvendes af Metasploit-rammen.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.