J'ai joué avec metasploit simplement comme passe-temps, mais je me demande si les pentesters et/ou les pirates informatiques utilisent réellement metasploit pour entrer dans les systèmes ou écrivent-ils entièrement leurs propres modules de post-exploitation ou leurs propres programmes?
La raison pour laquelle je pose la question est parce que metasploit ne semble pas être en mesure d'effacer sélectivement les journaux des événements Windows et autres, ou peut-être que je ne le trouve pas. (Le plus proche que je peux trouver est clearev mais cela efface simplement tout ce qui n'est pas très En outre, même s'il est capable d'effacer de manière sélective les journaux d'événements, il y aura des endroits comme la file d'attente de prélecture dans l'anneau 0 où la médecine légale pourra trouver ce que j'ai fait à partir de l'image système ...
En ce qui concerne la médecine légale, Metasploit dispose de charges utiles spécifiquement conçues pour rendre le travail d'analyse judiciaire plus difficile. Par exemple, la charge utile la plus connue qui est sélectionnée par défaut avec de nombreux modules d'exploitation est la charge utile du mètre mètre. Il s'exécute complètement en mémoire et ne touche le disque pour aucune opération (sauf demande spécifique de l'utilisateur). Ce qui signifie qu'il n'y aura aucune preuve dans le dossier de prélecture ou à tout autre endroit sur le disque.
Vous n'avez pas besoin d'effacer tous les journaux d'événements. Vous pouvez effacer de manière sélective tout journal d'événements que vous souhaitez via le script meterpreter event_manager .
Meterpreter dispose d'un outil appelé timestomp qui peut changer la durée de modification, d'accès, de création et d'exécution de n'importe quel fichier sur le disque dur en n'importe quelle valeur arbitraire. Vous pouvez effacer en toute sécurité n'importe quel fichier avec le module sdel (suppression sûre) qui non seulement efface en toute sécurité le contenu du fichier mais renomme le fichier en une longue chaîne aléatoire avant la suppression, ce qui rend la récupération judiciaire non seulement le contenu mais les métadonnées du fichier sont également très difficiles.
Arrive maintenant à votre deuxième partie de l'utilisation de Metasploit par de véritables attaquants malveillants dans des attaques réelles. Il y a eu rapports que Metasploit a été utilisé dans l'une des attaques contre l'installation nucléaire iranienne. La raison pour laquelle vous ne voyez pas Metasploit plus souvent est due à la nature open source du produit. Étant donné que les exploits et les charges utiles sont disponibles pour tout le monde, par défaut, tous les produits de sécurité tels que les antivirus, IDS/IPS, etc. considèrent ces fichiers comme malveillants. L'industrie de la défense est allée jusqu'à un point tel que même si l'on crée un fichier complètement bénin avec Metasploit, il sera détecté par presque toutes les solutions AV. Générez une charge utile vide comme:
echo -n | msfencode -e generic/none -t exe > myn.exe
Téléchargez-le sur VirusTotal et vous verrez que plus de la moitié des solutions AV le détectent comme malveillant. Plus de détails peuvent être trouvés sur le blog de Matt Weeks ici .
Avec ce comportement, aucun attaquant ne risque d'utiliser Metasploit pour des attaques réelles en raison du taux de détection très élevé. Les modules peuvent être facilement personnalisés et contourner AV et d'autres contrôles de sécurité via Metasploit est également assez facile. Cependant, à ce stade, il est difficile de déterminer si la charge utile est écrite à partir de zéro ou si le module Metasploit a été modifié. Par conséquent, il est difficile de dire avec certitude combien d'attaquants ont utilisé ou continuent d'utiliser Metasploit dans leurs opérations.
Je ne connais pas les attaquants/pirates malveillants, mais je connais plusieurs pentesters (moi y compris) qui incluent Metasploit dans leurs boîtes à outils. Ce n'est de loin pas le seul outil utilisé, mais il a certainement ses utilités. Cela étant dit, votre question semble être de "couvrir vos traces", ce qui est naturellement quelque chose de plus utile pour l'attaquant malveillant. Lors de mes derniers engagements, nous altérons rarement les journaux, sauf lorsque la détection de la falsification de journaux est l'un des objectifs de "l'équipe bleue". (Ensuite, nous le faisons pour voir s'il est détecté.)
Oui, les pentesters utilisent Metasploit. Avec les modèles exe personnalisés et shikata_ga_nai, vous pouvez tromper presque toutes les solutions AV (Google pour l'évasion AV pour en savoir plus) et la charge utile de meterpreter est vraiment pratique pour augmenter les privilèges dans les domaines Windows.
Cela étant dit, Metasploit n'est qu'un outil parmi tant d'autres et un bon pentester devrait connaître et utiliser le bon outil pour la bonne tâche.
Effacer des entrées spécifiques du journal des événements peut être utile pour un pentest lorsque l'objectif est d'être non détecté et de tromper les systèmes SIEM. Cependant, ce n'est pas parce que cette fonctionnalité est absente de Metasploit (pour l'instant) que vous ne pouvez pas utiliser tous les modules utiles qui sont déjà là.
En ce qui concerne les boîtes à outils personnalisées, j'imagine qu'il serait plus efficace de bifurquer Metasploit ou de simplement écrire vos propres modules de post-exploitation (comme la suppression sélective du journal des événements).
C'est la beauté des logiciels open source.
Il y a des avantages à utiliser Immunity Security ou les produits CoreSec par rapport à Rapid7 (qu'il s'agisse des offres commerciales Metasploit ou du FOSS MetaSploit Framework aka MSF). Vous devrez les tester par vous-même, mais cela concerne principalement la possibilité d'exécuter des exploits en conserve et d'organiser des plans/résultats. Pour autant que je le comprenne, tous les exploits MSF peuvent être exécutés à partir de Core IMPACT. Cependant, Metasploit ne va nulle part de sitôt et peut être utilisé avec d'autres outils. Laissez-moi voir si je peux d'abord remédier à certaines de ses faiblesses.
En termes de charge utile, les capacités de MSF, y compris le mètre-mètre, laissent beaucoup à désirer. La plupart des charges utiles MSF sont faciles à repérer par AV et HIPS de nombreux types. L'exécutable de charge utile par défaut implémente de nombreux Windowsism courants que je n'aime pas utiliser, tels que les appels et les dépendances de bibliothèque W32 standard. INNUENDO (et la version antérieure de MOSDEF) d'ImmSec est meilleure, mais MOSDEF a également vu quelques empreintes digitales récemment. La liste blanche des applications est une autre préoccupation pour toute technologie d'implant de porte dérobée, mais voici un bypass qui exploite des parties de MSF. Ici est n autre qui utilise Powershell. De nombreux professionnels évitent l'exécutable par défaut et utilisent le generate -t
flag (ou via msfvenom) pour supprimer psh (Powershell), dll (pour l'injection de registre AppInit) ou un autre format inhabituel.
Alors que MSF est partiellement intégré dans Cobalt Strike's Beacon, les capacités vont bien au-delà de ce que Meterpreter peut faire seul. Fortement recommandé!
En outre, j'ai entendu parler d'autres utilisant des outils tels que Throwback pour sa simplicité. C'est bien d'avoir des alternatives. Un autre que j'ai trouvé est ClickOnce .
MSF lui-même semble même emprunter une nouvelle voie lors de l'attaque de Windows moderne (Win7 et supérieur, Win Server 2k8r2 ou supérieur) via Powershell avec web_delivery . Un attaquant peut s'appuyer sur ce framework pour injecter beaucoup plus d'action Powershell pour les tâches post-exploitation , comme:
Le module MSF, web_delivery , peut également fournir un Python ou PHP charge utile et peut peut être modifié pour prendre en charge d'autres interprètes tels que Ruby. Si vous voulez tout rassembler pour une compréhension plus approfondie de "pourquoi Powershell sur MSF", consultez cet article de blog - http://www.labofapenetrationtester.com /2015/04/pillage-the-village-powershell-version.html
Un souci supplémentaire pour Powershell est lors de l'exécution contre Device Guard dans Windows 10.
[MISE À JOUR] Selon l'un des commentaires ci-dessous, Metasploit Pro peut utiliser des charges utiles plus fortes qui sont également intégrées dans la version open source de MSF. Si vous avez Metasploit Pro, vérifiez le module auxiliaire/pro améliorations , comme generate_dynamic_stager. Sinon, lisez les charges utiles sans compteur .
Les outils qui utilisent TCP (avec DNS) peuvent être proxy via Meterpreter facilement en utilisant commande de route msfconsole , proxychains , et le - socks4a module serveur. Après la création d'une session, configurez un itinéraire vers son réseau (ou même localhost, comme indiqué dans le premier lien de ce paragraphe) via son identifiant de session. Ensuite, exécutez le module socks4a et passez sa configuration dans le fichier proxychains.conf. Même le DNS devrait passer de manière appropriée. Il existe probablement plusieurs façons d'exécuter des outils externes via Metasploit. Comme Ruby (et Perl avant), Metasploit est un cadre où "il y a plus d'une façon de le faire". C'est à vous, en tant que développeur, d'intégrer vos idées. En utilisant la puissance des logiciels open source, apportez vos changements et rejoignez la communauté.
Oui, Metasploit est très couramment utilisé par les professionnels de l'industrie.
Voir par exemple ce lien .
Oui, j'utilise Metasploit pour exploiter une vulnérabilité connue qui a un exploit écrit en Metasploit. Dans mon cas, nous avons exploité l'utilisation de Metasploit juste pour prouver le risque de vulnérabilité. Montrez le risque au client. Donc, fondamentalement, le client sait quand nous voulons exploiter cette vulnérabilité.