Meterpreter
On 8 listopada, 2021 by adminMeterpreter jest atakiem Metasploit, który dostarcza interaktywną powłokę, z której atakujący może zbadać maszynę docelową i wykonać kod. Meterpreter jest uruchamiany za pomocą in-memory DLL injection. W rezultacie, Meterpreter rezyduje całkowicie w pamięci i nie zapisuje niczego na dysku. Nie są tworzone żadne nowe procesy, ponieważ Meterpreter wstrzykuje się do skompromitowanego procesu, z którego może migrować do innych uruchomionych procesów. W rezultacie, ślad kryminalistyczny ataku jest bardzo ograniczony.
Meterpreter został zaprojektowany w celu obejścia wad używania specyficznych ładunków, umożliwiając jednocześnie pisanie poleceń i zapewniając zaszyfrowaną komunikację. Wadą używania specyficznych ładunków jest to, że alarmy mogą zostać uruchomione, gdy w systemie docelowym rozpocznie się nowy proces.
Metepreter został pierwotnie napisany dla Metasploita 2.x przez Skape’a, pseudonim hakerski używany przez Matta Millera. Wspólne rozszerzenia zostały połączone dla wersji 3.x i obecnie jest w trakcie przebudowy dla Metasploit 3.3.
Meterpreter jest atakiem Metasploita, który dostarcza atakującemu interaktywną powłokę, z której może on eksplorować maszynę docelową i wykonywać kod. Meterpreter jest instalowany przy użyciu in-memory DLL injection. W rezultacie, Meterpreter rezyduje całkowicie w pamięci i nie zapisuje niczego na dysku. Nie są tworzone nowe procesy, ponieważ Meterpreter wstrzykuje się do zagrożonego procesu, z którego może migrować do innych uruchomionych procesów.
Meterpreter został zaprojektowany w celu obejścia wad używania specyficznych payloadów, umożliwiając jednocześnie pisanie poleceń i zapewniając zaszyfrowaną komunikację. Wadą używania specyficznych payloadów jest to, że alarmy mogą zostać wywołane, gdy nowy proces rozpocznie się w systemie docelowym. W idealnej sytuacji payload powinien unikać tworzenia nowego procesu, zawierając całą aktywność w zakresie samego payloadu. Powinien pozwalać na pisanie skryptów, ale bez tworzenia nowych plików na dysku, gdyż mogłoby to spowodować uruchomienie oprogramowania antywirusowego.
Meterpreter używa powłoki reverse_tcp, co oznacza, że łączy się z listenerem na maszynie atakującego. Istnieją dwa popularne typy powłok: bind i reverse. Powłoka bind otwiera nową usługę na maszynie docelowej i wymaga, by atakujący połączył się z nią w celu rozpoczęcia sesji. Powłoka odwrotna (znana również jako connect-back) wymaga od atakującego, aby najpierw skonfigurował listener, do którego maszyna docelowa może się podłączyć.
Moduł exploita, jeden z trzech typów (singles, stagers, stages) używanych przez framework Metasploit.
.
Dodaj komentarz