Articles

Meterpreter

On 8 marraskuun, 2021 by

Meterpreter on Metasploit-hyökkäyksen hyötykuorma, joka tarjoaa interaktiivisen komentotulkin, josta hyökkääjä voi tutkia kohdekonetta ja suorittaa koodia. Meterpreter otetaan käyttöön käyttämällä muistin sisäistä DLL-injektiota. Tämän seurauksena Meterpreter pysyy kokonaan muistissa eikä kirjoita mitään levylle. Uusia prosesseja ei luoda, sillä Meterpreter injektoi itsensä vaarantuneeseen prosessiin, josta se voi siirtyä muihin käynnissä oleviin prosesseihin. Tämän seurauksena hyökkäyksen rikostekninen jalanjälki on hyvin rajallinen.

Meterpreter suunniteltiin kiertämään erityisten hyötykuormien käytöstä aiheutuvat haitat ja mahdollistamaan samalla komentojen kirjoittaminen ja varmistamaan salattu viestintä. Erityisten hyötykuormien käytön haittapuolena on se, että hälytykset voivat käynnistyä, kun kohdejärjestelmässä käynnistyy uusi prosessi.

Metepreter kirjoitettiin alun perin Metasploit 2.x:lle Skapen, Matt Millerin käyttämän hakkerinimimerkin, toimesta. Yhteiset laajennukset yhdistettiin 3.x:ää varten, ja sitä uudistetaan parhaillaan Metasploit 3.3:a varten.

Miten Meterpreter toimii?

Meterpreter on Metasploit-hyökkäyksen hyötykuorma, joka tarjoaa hyökkääjälle interaktiivisen komentotulkin, josta hän voi tutkia kohdekonetta ja suorittaa koodia. Meterpreter otetaan käyttöön käyttämällä muistin sisäistä DLL-injektiota. Tämän seurauksena Meterpreter pysyy kokonaan muistissa eikä kirjoita mitään levylle. Uusia prosesseja ei luoda, sillä Meterpreter injektoi itsensä vaarantuneeseen prosessiin, josta se voi siirtyä muihin käynnissä oleviin prosesseihin.

Mitkä ovat Meterpreterin tavoitteet?

Meterpreter suunniteltiin kiertämään erityisten hyötykuormien käytön haittoja ja samalla mahdollistamaan komentojen kirjoittaminen ja varmistamaan salattu viestintä. Erityisten hyötykuormien käytön haittapuolena on, että hälytykset voivat käynnistyä, kun uusi prosessi käynnistyy kohdejärjestelmässä. Ihannetapauksessa hyötykuorman olisi vältettävä uuden prosessin luomista, sillä se sisältää kaiken toiminnan hyötykuorman sisällä. Sen pitäisi sallia skriptien kirjoittaminen, mutta ilman uusien tiedostojen luomista levylle, koska tämä voisi laukaista virustorjuntaohjelmiston.

Mikä on Meterpreter Reverse_tcp?

Meterpreter käyttää reverse_tcp-kuorta, mikä tarkoittaa, että se muodostaa yhteyden hyökkääjän koneella olevaan kuuntelijaan. On olemassa kaksi suosittua kuorityyppiä: bind ja reverse. Bind-kuori avaa uuden palvelun kohdekoneella ja vaatii hyökkääjää ottamaan siihen yhteyden istunnon aloittamiseksi. Käänteinen komentotulkki (tunnetaan myös nimellä connect-back) edellyttää, että hyökkääjä perustaa ensin kuuntelijan, johon kohdekone voi muodostaa yhteyden.

Mitä hyötykuorma tarkoittaa?

Hyökkäysmoduuli, yksi Metasploit-kehyksen käyttämistä kolmesta tyypistä (singlet, stagers, stages).

Vastaa

Sähköpostiosoitettasi ei julkaista.