Domanda:
I veri penetration tester utilizzano effettivamente strumenti come metasploit?
shawn
2014-06-09 12:09:47 UTC
view on stackexchange narkive permalink

Ho giocato con il metasploit semplicemente come hobby, ma mi chiedo se i veri pentesters e / o gli hacker effettivamente utilizzino il metasploit per entrare nei sistemi o scrivano i propri moduli di post exploitation o i propri programmi interamente?

Il motivo per cui lo chiedo è perché metasploit non sembra essere in grado di cancellare selettivamente i registri degli eventi di Windows e simili, o forse non sono riuscito a trovarlo (il più vicino che riesco a trovare è clearev ma semplicemente cancella fuori tutto ciò che non è molto subdolo) Inoltre, anche se è in grado di cancellare selettivamente i registri degli eventi, ci saranno posti come la coda di prefetch nell'anello 0 dove la scientifica sarà in grado di trovare quello che ho fatto dall'immagine di sistema ...

Non solo i pen tester usano Metasploit, ma in molti casi è l'unica cosa che sanno fare.
Qual è lo scopo di pulire i registri durante un pentest? A meno che tu non stia facendo una valutazione del redteam.
Sei risposte:
#1
+74
void_in
2014-06-09 14:43:21 UTC
view on stackexchange narkive permalink

Per quanto riguarda la scientifica, Metasploit dispone di payload progettati specificamente per rendere più difficile il lavoro di analisi forense. Ad esempio, il payload più famoso selezionato per impostazione predefinita con molti moduli di exploit è il payload meterpreter. Funziona completamente in memoria e non tocca il disco per nessuna operazione (a meno che non sia espressamente richiesto dall'utente). Ciò significa che non ci saranno prove nella cartella di precaricamento o in qualsiasi altro posto sul disco.

Non è necessario cancellare tutti i registri degli eventi. Puoi cancellare selettivamente qualsiasi registro eventi che desideri tramite lo script meterpreter event_manager.

Meterpreter ha uno strumento chiamato timestomp che può cambiare la modifica, l'accesso, creazione e tempo di esecuzione di qualsiasi file sul disco rigido a qualsiasi valore arbitrario. Puoi cancellare in modo sicuro qualsiasi file con il modulo sdel (cancellazione sicura) che non solo cancella in modo sicuro il contenuto del file, ma rinomina il file in una lunga stringa casuale prima della cancellazione che rende il recupero forense non solo i contenuti ma anche i metadati dei file sono molto difficili.

Ora viene la seconda parte dell'uso di Metasploit da parte di effettivi malintenzionati in attacchi nel mondo reale. Ci sono stati rapporti secondo cui Metasploit è stato utilizzato in uno degli attacchi all'impianto nucleare iraniano. Il motivo per cui non vedi Metasploit più spesso è dovuto alla natura open source del prodotto. Poiché gli exploit e i payload sono disponibili per tutti, per impostazione predefinita ogni prodotto di sicurezza come antivirus, IDS / IPS ecc. Considera questi file come dannosi. L'industria della difesa è arrivata a un punto tale che, anche se si crea un file completamente innocuo con Metasploit, verrà rilevato da quasi tutte le soluzioni AV. Genera un payload vuoto come:

  echo -n | msfencode -e generico / nessuno -t exe > myn.exe  

Caricalo su VirusTotal e vedrai che più della metà delle soluzioni AV lo rileva come dannoso. Maggiori dettagli possono essere trovati sul blog di Matt Weeks qui.

Con questo comportamento nessun aggressore rischierà di utilizzare Metasploit per attacchi effettivi a causa dell'alto tasso di rilevamento. I moduli possono essere facilmente personalizzati e anche bypassare AV e altri controlli di sicurezza tramite Metasploit è abbastanza semplice. Tuttavia, a quel punto è difficile determinare se il payload è stato scritto da zero o il modulo Metasploit è stato modificato. Pertanto, è difficile dire con certezza quanti aggressori abbiano utilizzato o continuino a utilizzare Metasploit nelle loro operazioni.

La prossima volta consiglia novirusthanks (fai clic sulla casella non distribuire), altrimenti l'AV riceverà i campioni di malware che verranno rilevati entro pochi giorni.
Lo scopo era far sapere ai lettori che quasi tutti gli AV considerano dannoso qualsiasi cosa relativa a msf.Anche myn.exe come sopra non è il carico utile effettivo che l'utente utilizzerà durante la campagna.È solo un carico utile fittizio che non contiene altro che l'utilizzo del decodificatore predefinito e del modello exe.
#2
+33
David
2014-06-09 12:32:07 UTC
view on stackexchange narkive permalink

Non conosco attaccanti / hacker dannosi, ma conosco diversi pentester (me compreso) che includono Metasploit nei loro toolbox. Non è di gran lunga l'unico strumento utilizzato, ma sicuramente ha i suoi usi. Detto questo, la tua domanda sembra riguardare "coprire le tue tracce", che è naturalmente qualcosa di più utile per il malintenzionato. Nei miei impegni più pentiti, manomettiamo raramente i log, tranne quando rilevare la manomissione dei log è uno degli obiettivi della "squadra blu". (Quindi lo facciamo per vedere se viene rilevato.)

#3
+16
Sebastian B.
2014-06-09 23:56:26 UTC
view on stackexchange narkive permalink

Sì, i pentesteri usano Metasploit. Con modelli exe personalizzati e shikata_ga_nai, puoi ingannare quasi tutte le soluzioni AV (Google per l'evasione AV per saperne di più) e il payload meterpreter è davvero utile per aumentare i privilegi nei domini Windows.

ha detto, Metasploit è solo uno dei tanti e un buon pentester dovrebbe conoscere e utilizzare lo strumento giusto per il compito giusto.

La cancellazione di voci specifiche dal registro degli eventi potrebbe tornare utile per un pentest quando l'obiettivo è non essere rilevati e ingannare i sistemi SIEM. Tuttavia, solo perché questa funzionalità manca da Metasploit (al momento) non significa che non puoi utilizzare tutti i moduli utili che sono già presenti.

Per quanto riguarda i toolkit personalizzati, immagino che sarebbe più efficace per eseguire il fork di Metasploit o per scrivere semplicemente i propri moduli post-sfruttamento (come l'eliminazione selettiva del registro eventi).

Questa è la bellezza del software open source.

Piccola nota aggiuntiva: shikata_ga_nai (o qualsiasi altro codificatore) non dovrebbe essere usato per evitare il software av. Funziona spesso, ma i codificatori sono principalmente destinati a evitare-badchar ecc. Metasploit Pro ha una vera tecnica di evasione antivirus implementata che genera un programma veramente casuale.
Non vedo il motivo per cui non dovrei usare shikata_ga_nai per evitare il software av? Se non ho bisogno di Metasploit Pro e non voglio fare soldi per questo, perché non dovrei usare shikata_ga_nai per questo? Hai qualche motivo specifico per cui sarebbe sbagliato farlo?
Bene, (potrebbe) essere rilevato da euristiche per cui non ti sei preparato. La creazione di codice "illeggibile" ingannerà solo prodotti di sicurezza stupidi (ammesso che la maggior parte degli AV è stupida). Ma la maggior parte di loro rileverà che qualcosa potrebbe essere "fuori" con il file. Se lo codifichi, l'entropia aumenterà. Ciò si tradurrà in un "virus" "oday". Tuttavia, se crei un programma casuale migliore, ciò innesca anche le stesse condizioni se il tuo meterpreter la possibilità di essere rilevato è molto più bassa. Come sembra e agisce come un normale programma.
shikata_ga_nai è rilevabile da AV da molto tempo.Sarebbe più facile scrivere il tuo codificatore, che sarebbe più difficile da rilevare.La versione Pro può avere un codificatore superiore, ma è un sacco di soldi per qualcosa che puoi fare da solo.È bello però se il tuo lavoro paga per te, da allora avrai più tempo da dedicare al pentesting.
#4
+13
atdre
2015-04-09 23:33:50 UTC
view on stackexchange narkive permalink

Ci sono vantaggi nell'usare i prodotti Immunity Security o CoreSec rispetto a Rapid7 (che si tratti delle offerte commerciali Metasploit o del FOSS MetaSploit Framework aka MSF). Dovrai testarli tu stesso, ma ha principalmente a che fare con la capacità di eseguire exploit in scatola e organizzare piani / risultati. Per quanto ne so, tutti gli exploit di MSF possono essere eseguiti da Core IMPACT. Metasploit non andrà da nessuna parte presto, però, e può essere utilizzato insieme a qualsiasi altro strumento. Fammi vedere se riesco ad affrontare prima alcuni dei suoi punti deboli.

In termini di carico utile, le capacità di MSF, incluso il meterpreter, lasciano molto a desiderare. La maggior parte dei payload di MSF sono facili da individuare da AV e HIPS di molti tipi. L'eseguibile di payload predefinito implementa molti Windowsismi comuni che non mi piace usare, come le chiamate e le dipendenze della libreria W32 standard. INNUENDO (e il precedente MOSDEF) di ImmSec è migliore, ma recentemente MOSDEF ha anche rilevato alcune impronte digitali. La whitelist delle app è un'altra preoccupazione per qualsiasi tecnologia di backdoor impianto, ma ecco un bypass che sfrutta parti di MSF. Ecco un altro che sfrutta Powershell. Molti professionisti evitano l'eseguibile predefinito e utilizzano il flag generate -t ​​ (o tramite msfvenom) per eliminare psh (Powershell), dll (per l'iniezione del registro AppInit) o ​​un altro formato non comune.

Sebbene MSF sia parzialmente integrato in Cobalt Strike's Beacon, le capacità vanno ben oltre ciò che Meterpreter può fare da solo. Altamente raccomandato!

Inoltre, ho sentito parlare di altri che utilizzano strumenti come Throwback per la sua semplicità. È bene avere alternative. Un altro che ho trovato è ClickOnce.

Lo stesso MSF sembra anche prendere una nuova strada quando attacca Windows moderno (Win7 e versioni successive, Win Server 2k8r2 o versioni successive) tramite Powershell con web_delivery. Un utente malintenzionato può basarsi su questo framework per iniettare molte più azioni Powershell per attività successive allo sfruttamento, ad esempio:

Il modulo MSF, web_delivery, può anche fornire un payload Python o PHP e può eventualmente essere modificato per supportare altri interpreti come Ruby. Se vuoi mettere tutto insieme per una più profonda comprensione del "perché Powershell su MSF", leggi questo post del blog: http://www.labofapenetrationtester.com/2015/04/pillage-the-village-powershell -version.html

Un'ulteriore preoccupazione per Powershell è quando si esegue contro Device Guard in Windows 10.

[AGGIORNAMENTO] Secondo uno dei commenti seguenti, Metasploit Pro può utilizzare payload più potenti che vengono anche integrati nella versione open source di MSF. Se hai Metasploit Pro, controlla i miglioramenti del modulo ausiliario / pro, come generate_dynamic_stager. In caso contrario, leggi i payload di meterpreter stageless.

Gli strumenti che utilizzano TCP (insieme al DNS) possono essere facilmente inviati tramite proxy tramite Meterpreter utilizzando il comando di route msfconsole, proxychains e socks4a modulo server. Dopo che una sessione è stata creata, imposta un percorso verso la sua rete (o anche localhost, come si vede nel primo collegamento in questo paragrafo) attraverso il suo id di sessione. Quindi, esegui il modulo socks4a e passa la sua configurazione al file proxychains.conf. Anche il DNS dovrebbe passare in modo appropriato. Probabilmente esiste più di un modo per eseguire strumenti esterni tramite Metasploit. Come Ruby (e Perl prima di esso), Metasploit è un framework in cui "c'è più di un modo per farlo". Sta a te, in quanto sviluppatore, integrare le tue idee. Sfruttando la potenza del software open source, contribuisci alle modifiche e unisciti alla comunità.

Meterpreter è migliore come payload interattivo. In caso di non interattivo (ad esempio campagne per un lungo periodo di tempo), non è molto affidabile. Tuttavia, la riconnessione automatica e la gestione dei problemi di errore di rete sono prioritari e dovresti vedere un netto miglioramento nelle prossime settimane. Anche il meterpreter senza cervo è integrato nell'albero principale. E sì, Throwback è fantastico.
Powershell è ora sul radar di Crowdstrike. Non passerà molto tempo prima che ClickOnce e i concetti di payload più recenti raggiungano il loro apice
Quanto saranno efficaci nel modello download-at-runtime-in-memory-and-execute? Ho visto che queste soluzioni HIPS sono migliori dell'AV per quanto riguarda l'esecuzione in memoria, ma ancora molto a desiderare. I payload stanno diventando più piccoli con funzionalità generiche, ad es. ritorno al passato in cui le azioni che esegue non sono dannose dal punto di vista dell'HIPS. Quindi penso che stiamo vedendo (e come pentester sto ottenendo molto successo con questi) payload generici che danno all'utente un gateway per la macchina senza cercare di fare troppo. Quindi la funzionalità può essere aggiunta su richiesta
Ci sono anche questi - https://github.com/SherifEldeeb?tab=repository - payload meterpreter di terze parti: ultimet (inmet) e tinymet. Molto utile! Pensieri?
Sì. Ai tempi in cui uscivano ultimet e inmet, li ho testati, ma ora il meterpreter stageless integrato è migliore poiché fornisce funzionalità di resilienza della connessione (come ho detto nel primo commento). Inoltre, poiché è possibile generare meterpreter stageless in formato raw da Metasploit tramite msfvenom, è possibile eseguire tutti i tipi di azione come la modifica manuale dell'assembly o la crittografia del payload tramite Veil
Posso sostenere che, negli ultimi tempi, Empire's Process Injection - http://www.powershellempire.com/?page_id=273 - specialmente se combinato con Invoke-ReflectivePEInjection e Out-MiniDump di PowerSploit forniscono molti vantaggi (come un implant) su qualsiasi cosa in meterpreter, unicorn o persino spraywmi
#5
+8
Fairlight
2014-06-09 12:31:05 UTC
view on stackexchange narkive permalink

Sì, Metasploit è molto utilizzato dai professionisti del settore.

Vedi ad esempio questo link.

#6
+6
zakiakhmad
2014-06-09 13:18:16 UTC
view on stackexchange narkive permalink

Sì, utilizzo Metasploit per sfruttare una vulnerabilità nota che ha un exploit scritto in Metasploit. Nel mio caso , abbiamo sfruttato Metasploit solo per dimostrare il rischio della vulnerabilità. Mostra il rischio al cliente. Quindi, fondamentalmente, il client sa quando vogliamo sfruttare questa vulnerabilità.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...