Articles

Meterpreter

On november 8, 2021 by

Meterpreter är en Metasploit-angreppsnyttolast som tillhandahåller ett interaktivt skal från vilket en angripare kan utforska målmaskinen och köra kod. Meterpreter distribueras med hjälp av DLL-injektion i minnet. Som ett resultat av detta ligger Meterpreter helt och hållet i minnet och skriver ingenting till disken. Inga nya processer skapas eftersom Meterpreter injicerar sig själv i den infekterade processen, varifrån den kan migrera till andra processer som körs. Som ett resultat av detta är det forensiska fotavtrycket av en attack mycket begränsat.

Meterpreter utformades för att kringgå nackdelarna med att använda specifika nyttolaster, samtidigt som det möjliggör skrivning av kommandon och säkerställer krypterad kommunikation. Nackdelen med att använda specifika nyttolaster är att larm kan utlösas när en ny process startar i målsystemet.

Metepreter skrevs ursprungligen för Metasploit 2.x av Skape, ett hackermärke som används av Matt Miller. Gemensamma tillägg slogs samman för 3.x och genomgår för närvarande en översyn för Metasploit 3.3.

Hur fungerar Meterpreter?

Meterpreter är en nyttolast för Metasploit-attacker som ger ett interaktivt skal till angriparen från vilket denne kan utforska målmaskinen och exekvera kod. Meterpreter distribueras med hjälp av DLL-injektion i minnet. Som ett resultat av detta ligger Meterpreter helt och hållet i minnet och skriver ingenting till disken. Inga nya processer skapas eftersom Meterpreter injicerar sig själv i den infekterade processen, varifrån den kan migrera till andra processer som körs.

Vilka är målen för Meterpreter?

Meterpreter utformades för att kringgå nackdelarna med att använda specifika nyttolaster, samtidigt som det är möjligt att skriva kommandon och säkerställa krypterad kommunikation. Nackdelen med att använda specifika nyttolaster är att larm kan utlösas när en ny process startar i målsystemet. I idealfallet bör en nyttolast undvika att en ny process skapas och innehålla all aktivitet inom själva nyttolastens räckvidd. Den bör göra det möjligt att skriva skript, men utan att skapa nya filer på disken, eftersom detta skulle kunna utlösa antivirusprogrammet.

Vad är Meterpreter Reverse_tcp?

Meterpreter använder ett reverse_tcp-skal, vilket innebär att den ansluter till en lyssnare på angriparens maskin. Det finns två populära typer av skal: bind och reverse. Ett bind shell öppnar en ny tjänst på målmaskinen och kräver att angriparen ansluter till den för att starta en session. Ett omvänt skal (även kallat connect-back) kräver att angriparen först sätter upp en lyssnare som målmaskinen kan ansluta till.

Vad betyder nyttolast?

En exploateringsmodul, en av de tre typer (singlar, stagers, stages) som används av Metasploit-ramverket.

Lämna ett svar

Din e-postadress kommer inte publiceras.