Articles

Meterpreter

On November 8, 2021 by

Meterpreter ist ein Metasploit-Angriffs-Payload, der eine interaktive Shell bereitstellt, über die ein Angreifer den Zielcomputer erkunden und Code ausführen kann. Meterpreter wird mittels In-Memory-DLL-Injection bereitgestellt. Folglich befindet sich Meterpreter vollständig im Speicher und schreibt nichts auf die Festplatte. Es werden keine neuen Prozesse erstellt, da Meterpreter sich selbst in den kompromittierten Prozess injiziert, von dem aus er zu anderen laufenden Prozessen migrieren kann. Infolgedessen ist der forensische Fußabdruck eines Angriffs sehr begrenzt.

Meterpreter wurde entwickelt, um die Nachteile der Verwendung spezifischer Nutzlasten zu umgehen und gleichzeitig das Schreiben von Befehlen zu ermöglichen und eine verschlüsselte Kommunikation sicherzustellen. Der Nachteil der Verwendung spezifischer Payloads ist, dass ein Alarm ausgelöst werden kann, wenn ein neuer Prozess im Zielsystem startet.

Metepreter wurde ursprünglich für Metasploit 2.x von Skape geschrieben, einem Hacker, der von Matt Miller benutzt wird. Gemeinsame Erweiterungen wurden für 3.x zusammengeführt und werden derzeit für Metasploit 3.3 überarbeitet.

Wie funktioniert Meterpreter?

Meterpreter ist eine Metasploit-Angriffs-Nutzlast, die dem Angreifer eine interaktive Shell zur Verfügung stellt, von der aus er den Zielcomputer erkunden und Code ausführen kann. Meterpreter wird mittels In-Memory-DLL-Injection bereitgestellt. Folglich befindet sich Meterpreter vollständig im Speicher und schreibt nichts auf die Festplatte. Es werden keine neuen Prozesse erstellt, da Meterpreter sich selbst in den kompromittierten Prozess injiziert, von dem aus er zu anderen laufenden Prozessen migrieren kann.

Was sind die Ziele von Meterpreter?

Meterpreter wurde entwickelt, um die Nachteile der Verwendung spezifischer Payloads zu umgehen und gleichzeitig das Schreiben von Befehlen zu ermöglichen und eine verschlüsselte Kommunikation zu gewährleisten. Der Nachteil der Verwendung spezifischer Payloads ist, dass Alarme ausgelöst werden können, wenn ein neuer Prozess im Zielsystem startet. Idealerweise sollte eine Payload die Erstellung eines neuen Prozesses vermeiden und alle Aktivitäten innerhalb des Bereichs der Payload selbst enthalten. Sie sollte das Schreiben von Skripten ermöglichen, ohne jedoch neue Dateien auf der Festplatte zu erstellen, da dies die Antivirensoftware auslösen könnte.

Was ist Meterpreter Reverse_tcp?

Meterpreter verwendet eine reverse_tcp-Shell, was bedeutet, dass es sich mit einem Listener auf dem Rechner des Angreifers verbindet. Es gibt zwei gängige Arten von Shells: bind und reverse. Eine Bind-Shell öffnet einen neuen Dienst auf dem Zielrechner und verlangt vom Angreifer, dass er sich mit diesem verbindet, um eine Sitzung zu starten. Bei einer Reverse-Shell (auch als „Connect-Back“ bezeichnet) muss der Angreifer zunächst einen Listener einrichten, mit dem sich der Zielcomputer verbinden kann.

Was bedeutet Payload?

Ein Exploit-Modul, einer der drei Typen (Singles, Stagers, Stages), die vom Metasploit-Framework verwendet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.