Articles

Meterpreter

On november 8, 2021 by

A Meterpreter egy Metasploit támadási hasznos teher, amely egy interaktív héjat biztosít, amelyről a támadó feltárhatja a célgépet és kódot hajthat végre. A Meterpreter telepítése memórián belüli DLL injektálással történik. Ennek eredményeként a Meterpreter teljes egészében a memóriában tartózkodik, és semmit sem ír a lemezre. Nem jön létre új folyamat, mivel a Meterpreter befecskendezi magát a veszélyeztetett folyamatba, ahonnan át tud vándorolni más futó folyamatokba. Ennek eredményeképpen a támadás törvényszéki lábnyoma nagyon korlátozott.

A Meterpreter-t úgy tervezték, hogy megkerülje a specifikus hasznos terhek használatának hátrányait, ugyanakkor lehetővé tegye a parancsok írását és biztosítsa a titkosított kommunikációt. A specifikus hasznos terhek használatának hátránya, hogy riasztások léphetnek fel, amikor egy új folyamat indul a célrendszerben.

A Metepreter-t eredetileg a Metasploit 2.x-hez írta Skape, a Matt Miller által használt hacker becenév. A közös kiterjesztéseket a 3.x-hez összevonták, és jelenleg a Metasploit 3.3 számára átdolgozás alatt áll.

Hogyan működik a Meterpreter?

A Meterpreter egy Metasploit támadási hasznos teher, amely egy interaktív héjat biztosít a támadó számára, amelyről a célgépet vizsgálhatja és kódot hajthat végre. A Meterpreter telepítése memórián belüli DLL-injektálással történik. Ennek eredményeként a Meterpreter teljes egészében a memóriában tartózkodik, és semmit sem ír a lemezre. Nem jön létre új folyamat, mivel a Meterpreter befecskendezi magát a veszélyeztetett folyamatba, ahonnan át tud vándorolni más futó folyamatokba.

Mik a Meterpreter céljai?

A Meterpreter-t úgy tervezték, hogy megkerülje a specifikus hasznos terhek használatának hátrányait, miközben lehetővé teszi a parancsok írását és biztosítja a titkosított kommunikációt. A specifikus hasznos terhek használatának hátránya, hogy a célrendszerben egy új folyamat indításakor riasztások léphetnek fel. Ideális esetben a hasznos terhelésnek el kell kerülnie egy új folyamat létrehozását, és minden tevékenységet magának a hasznos terhelésnek a hatókörén belül kell tartania. Lehetővé kell tennie a szkriptek írását, de anélkül, hogy új fájlokat hozna létre a lemezen, mivel ez kiválthatja a vírusirtó szoftvert.

Mi az a Meterpreter Reverse_tcp?

A Meterpreter egy reverse_tcp héjat használ, ami azt jelenti, hogy a támadó gépén lévő hallgatóhoz csatlakozik. Két népszerű héjtípus létezik: a bind és a reverse. A bind shell megnyit egy új szolgáltatást a célgépen, és a támadónak csatlakoznia kell hozzá a munkamenet indításához. A fordított héj (más néven connect-back) megköveteli, hogy a támadó először egy olyan figyelőt hozzon létre, amelyhez a célgép csatlakozni tud.

Mit jelent a payload?

Egy exploit modul, a Metasploit keretrendszer által használt három típus (singles, stagers, stages) egyike.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.