Meterpreter
On november 8, 2021 by adminMeterpreter is een Metasploit aanvalslading die een interactieve shell biedt van waaruit een aanvaller de doelmachine kan verkennen en code kan uitvoeren. Meterpreter wordt ingezet met behulp van in-memory DLL injectie. Hierdoor bevindt Meterpreter zich volledig in het geheugen en schrijft het niets naar schijf. Er worden geen nieuwe processen aangemaakt omdat Meterpreter zichzelf injecteert in het gecompromitteerde proces, van waaruit het kan migreren naar andere lopende processen. Hierdoor is de forensische voetafdruk van een aanval zeer beperkt.
Meterpreter is ontworpen om de nadelen van het gebruik van specifieke payloads te omzeilen en tegelijkertijd het schrijven van opdrachten mogelijk te maken en versleutelde communicatie te garanderen. Het nadeel van het gebruik van specifieke payloads is dat alarmen kunnen worden geactiveerd wanneer een nieuw proces in het doelsysteem wordt gestart.
Metepreter is oorspronkelijk geschreven voor Metasploit 2.x door Skape, een hacker-moniker die wordt gebruikt door Matt Miller. Gemeenschappelijke uitbreidingen werden samengevoegd voor 3.x en ondergaat momenteel een revisie voor Metasploit 3.3.
Meterpreter is een Metasploit aanvalslading die de aanvaller een interactieve shell biedt van waaruit hij de doelmachine kan verkennen en code kan uitvoeren. Meterpreter wordt ingezet met behulp van in-memory DLL injectie. Hierdoor bevindt Meterpreter zich volledig in het geheugen en schrijft het niets naar schijf. Er worden geen nieuwe processen aangemaakt omdat Meterpreter zichzelf injecteert in het gecompromitteerde proces, van waaruit het kan migreren naar andere lopende processen.
Meterpreter is ontworpen om de nadelen van het gebruik van specifieke payloads te omzeilen en tegelijkertijd het schrijven van commando’s mogelijk te maken en versleutelde communicatie te garanderen. Het nadeel van het gebruik van specifieke payloads is dat alarmen kunnen afgaan als een nieuw proces in het doelsysteem wordt gestart. Idealiter zou een payload het creëren van een nieuw proces moeten voorkomen, en alle activiteit binnen het bereik van de payload zelf moeten houden. Het moet mogelijk zijn om scripts te schrijven, maar zonder nieuwe bestanden op schijf aan te maken, omdat dit de antivirus software zou kunnen triggeren.
Meterpreter gebruikt een reverse_tcp shell, wat betekent dat het verbinding maakt met een luisteraar op de machine van de aanvaller. Er zijn twee populaire soorten shells: bind en reverse. Een bind shell opent een nieuwe service op de doelmachine en vereist dat de aanvaller er verbinding mee maakt om een sessie te starten. Een reverse shell (ook bekend als connect-back) vereist dat de aanvaller eerst een listener opzet waarmee de doelmachine verbinding kan maken.
Een exploit module, een van de drie types (singles, stagers, stages) gebruikt door het Metasploit framework.
Geef een antwoord