Meterpreter
On novembre 8, 2021 by adminMeterpreter est une charge utile d’attaque Metasploit qui fournit un shell interactif à partir duquel un attaquant peut explorer la machine cible et exécuter du code. Meterpreter est déployé en utilisant l’injection de DLL en mémoire. Par conséquent, Meterpreter réside entièrement en mémoire et n’écrit rien sur le disque. Aucun nouveau processus n’est créé car Meterpreter s’injecte dans le processus compromis, à partir duquel il peut migrer vers d’autres processus en cours d’exécution. Par conséquent, l’empreinte forensique d’une attaque est très limitée.
Meterpreter a été conçu pour contourner les inconvénients de l’utilisation de charges utiles spécifiques, tout en permettant l’écriture de commandes et en assurant une communication chiffrée. L’inconvénient de l’utilisation de charges utiles spécifiques est que des alarmes peuvent être déclenchées lorsqu’un nouveau processus démarre dans le système cible.
Meterpreter a été écrit à l’origine pour Metasploit 2.x par Skape, un surnom de hacker utilisé par Matt Miller. Les extensions communes ont été fusionnées pour 3.x et fait actuellement l’objet d’une refonte pour Metasploit 3.3.
Meterpreter est une charge utile d’attaque Metasploit qui fournit un shell interactif à l’attaquant à partir duquel il peut explorer la machine cible et exécuter du code. Meterpreter est déployé en utilisant l’injection de DLL en mémoire. Par conséquent, Meterpreter réside entièrement en mémoire et n’écrit rien sur le disque. Aucun nouveau processus n’est créé car Meterpreter s’injecte dans le processus compromis, à partir duquel il peut migrer vers d’autres processus en cours d’exécution.
Meterpreter a été conçu pour contourner les inconvénients de l’utilisation de charges utiles spécifiques, tout en permettant l’écriture de commandes et en assurant une communication chiffrée. L’inconvénient de l’utilisation de charges utiles spécifiques est que des alarmes peuvent être déclenchées lorsqu’un nouveau processus démarre dans le système cible. Idéalement, une charge utile devrait éviter la création d’un nouveau processus et contenir toute l’activité dans la portée de la charge utile elle-même. Il devrait permettre d’écrire des scripts, mais sans créer de nouveaux fichiers sur le disque, car cela pourrait déclencher le logiciel antivirus.
Meterpreter utilise un shell reverse_tcp, ce qui signifie qu’il se connecte à un listener sur la machine de l’attaquant. Il existe deux types populaires de shells : bind et reverse. Un shell bind ouvre un nouveau service sur la machine cible et demande à l’attaquant de s’y connecter pour démarrer une session. Un shell reverse (également connu sous le nom de connect-back) nécessite que l’attaquant configure d’abord un listener auquel la machine cible peut se connecter.
Un module d’exploitation, un des trois types (singles, stagers, stages) utilisés par le framework Metasploit.
Laisser un commentaire