Articles

Meterpreter

Il Novembre 8, 2021 da

Meterpreter è un payload di attacco Metasploit che fornisce una shell interattiva da cui un attaccante può esplorare la macchina di destinazione ed eseguire codice. Meterpreter è distribuito utilizzando l’iniezione di DLL in-memoria. Come risultato, Meterpreter risiede interamente in memoria e non scrive nulla su disco. Non vengono creati nuovi processi, poiché Meterpreter si inietta nel processo compromesso, da cui può migrare in altri processi in esecuzione. Di conseguenza, l’impronta forense di un attacco è molto limitata.

Meterpreter è stato progettato per aggirare gli svantaggi dell’utilizzo di payload specifici, consentendo la scrittura di comandi e garantendo una comunicazione crittografata. Lo svantaggio di usare payload specifici è che gli allarmi possono essere attivati quando un nuovo processo inizia nel sistema di destinazione.

Metepreter è stato originariamente scritto per Metasploit 2.x da Skape, un moniker hacker usato da Matt Miller. Le estensioni comuni sono state unite per la 3.x ed è attualmente in fase di revisione per Metasploit 3.3.

Come funziona Meterpreter?

Meterpreter è un payload di attacco di Metasploit che fornisce una shell interattiva all’attaccante da cui esplorare la macchina bersaglio ed eseguire codice. Meterpreter è distribuito utilizzando l’iniezione di DLL in-memory. Come risultato, Meterpreter risiede interamente in memoria e non scrive nulla su disco. Non vengono creati nuovi processi poiché Meterpreter si inietta nel processo compromesso, da cui può migrare verso altri processi in esecuzione.

Quali sono gli obiettivi di Meterpreter?

Meterpreter è stato progettato per aggirare gli svantaggi dell’utilizzo di payload specifici, consentendo al contempo la scrittura di comandi e garantendo una comunicazione criptata. Lo svantaggio di usare payload specifici è che gli allarmi possono essere attivati quando un nuovo processo inizia nel sistema di destinazione. Idealmente, un payload dovrebbe evitare la creazione di un nuovo processo, contenendo tutta l’attività nell’ambito del payload stesso. Dovrebbe consentire la scrittura di script, ma senza creare nuovi file su disco, poiché ciò potrebbe innescare il software antivirus.

Cos’è Meterpreter Reverse_tcp?

Meterpreter usa una shell reverse_tcp, il che significa che si connette a un ascoltatore sulla macchina dell’attaccante. Ci sono due tipi popolari di shell: bind e reverse. Una shell bind apre un nuovo servizio sulla macchina di destinazione e richiede che l’attaccante si connetta ad esso per iniziare una sessione. Una shell inversa (nota anche come connect-back) richiede all’attaccante di impostare prima un ascoltatore a cui la macchina bersaglio può connettersi.

Cosa significa Payload?

Un modulo di exploit, uno dei tre tipi (single, stagers, stages) usati dal framework Metasploit.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.