Meterpreter
On November 8, 2021 by adminMeterpreter ist ein Metasploit-Angriffs-Payload, der eine interaktive Shell bereitstellt, über die ein Angreifer den Zielcomputer erkunden und Code ausführen kann. Meterpreter wird mittels In-Memory-DLL-Injection bereitgestellt. Folglich befindet sich Meterpreter vollständig im Speicher und schreibt nichts auf die Festplatte. Es werden keine neuen Prozesse erstellt, da Meterpreter sich selbst in den kompromittierten Prozess injiziert, von dem aus er zu anderen laufenden Prozessen migrieren kann. Infolgedessen ist der forensische Fußabdruck eines Angriffs sehr begrenzt.
Meterpreter wurde entwickelt, um die Nachteile der Verwendung spezifischer Nutzlasten zu umgehen und gleichzeitig das Schreiben von Befehlen zu ermöglichen und eine verschlüsselte Kommunikation sicherzustellen. Der Nachteil der Verwendung spezifischer Payloads ist, dass ein Alarm ausgelöst werden kann, wenn ein neuer Prozess im Zielsystem startet.
Metepreter wurde ursprünglich für Metasploit 2.x von Skape geschrieben, einem Hacker, der von Matt Miller benutzt wird. Gemeinsame Erweiterungen wurden für 3.x zusammengeführt und werden derzeit für Metasploit 3.3 überarbeitet.
Meterpreter ist eine Metasploit-Angriffs-Nutzlast, die dem Angreifer eine interaktive Shell zur Verfügung stellt, von der aus er den Zielcomputer erkunden und Code ausführen kann. Meterpreter wird mittels In-Memory-DLL-Injection bereitgestellt. Folglich befindet sich Meterpreter vollständig im Speicher und schreibt nichts auf die Festplatte. Es werden keine neuen Prozesse erstellt, da Meterpreter sich selbst in den kompromittierten Prozess injiziert, von dem aus er zu anderen laufenden Prozessen migrieren kann.
Meterpreter wurde entwickelt, um die Nachteile der Verwendung spezifischer Payloads zu umgehen und gleichzeitig das Schreiben von Befehlen zu ermöglichen und eine verschlüsselte Kommunikation zu gewährleisten. Der Nachteil der Verwendung spezifischer Payloads ist, dass Alarme ausgelöst werden können, wenn ein neuer Prozess im Zielsystem startet. Idealerweise sollte eine Payload die Erstellung eines neuen Prozesses vermeiden und alle Aktivitäten innerhalb des Bereichs der Payload selbst enthalten. Sie sollte das Schreiben von Skripten ermöglichen, ohne jedoch neue Dateien auf der Festplatte zu erstellen, da dies die Antivirensoftware auslösen könnte.
Meterpreter verwendet eine reverse_tcp-Shell, was bedeutet, dass es sich mit einem Listener auf dem Rechner des Angreifers verbindet. Es gibt zwei gängige Arten von Shells: bind und reverse. Eine Bind-Shell öffnet einen neuen Dienst auf dem Zielrechner und verlangt vom Angreifer, dass er sich mit diesem verbindet, um eine Sitzung zu starten. Bei einer Reverse-Shell (auch als „Connect-Back“ bezeichnet) muss der Angreifer zunächst einen Listener einrichten, mit dem sich der Zielcomputer verbinden kann.
Ein Exploit-Modul, einer der drei Typen (Singles, Stagers, Stages), die vom Metasploit-Framework verwendet werden.
Schreibe einen Kommentar