Come rilevare Meterpreter e malware simile?

13

È possibile trovare Meterpreter o malware simile che non modifica l'hard disk ma è solo memorizzato nella RAM?

Il software anti-rootkit più comune come rkhunter e chkrootkit non lo trova.

    
posta nealmcb 20.05.2011 - 15:12
fonte

4 risposte

7

Prima di tutto 'meterpreter' non è malware. Immagino che tu intenda come rilevare le sessioni di Meterpreter aperte tra una macchina compromessa e l'aggressore.

La maggior parte degli antivirus è in grado di rilevare i payload del meterpreter in memoria: sono pubblici e per questo Metasploit dispone di speciali motori polimorfici per cercare di nascondere i payload.

Un bel factoid: strumenti commerciali come il framework di sfruttamento della tela fanno accordi speciali con le aziende antivirus per impedire che vengano rilevati i loro carichi utili.

Inoltre, è possibile rilevare le cose a livello di rete se la sessione non è crittografata (predefinito per SSL al giorno d'oggi): la maggior parte degli ID può rilevare meterpreter, Snort ha firme per esempio. È inoltre possibile rilevare il caricamento iniziale del tester meterpreter.

Inoltre, esistono strumenti per il lavoro: Antimeter - link - in grado di rilevare i processi che hanno iniettato la DLL dannosa e uccidili.

Sull'host, netstat e Process Explorer mostreranno connessioni e DLL divertenti caricati.

Infine, non è vero che nulla tocchi mai il disco: lo script prima carica la DLL dannosa sul disco e poi la inietta in un processo.

    
risposta data 21.05.2011 - 14:47
fonte
4

Avast! con euristica completa puoi trovare Meterpreter, come molte altre soluzioni AV.

Tuttavia, se l'avvio dello shellcode in Metasploit Framework viene modificato con shellcodeexec, allora AV standard non sarà più in grado di rilevare Meterpreter.

Dovresti passare attraverso ogni processo sul sistema e cercare punti di ingresso sospetti (improbabili) o IAT sospetti (Meterpreter utilizza VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, ReadProcessMemory, OpenProcess, CreateServiceA, StartServiceA e OpenProcessToken per impostazione predefinita) .

    
risposta data 21.05.2011 - 21:29
fonte
3

Generalmente quel tipo di cose non verrà trovato da un rilevatore di rootkit in quanto è solo nella RAM e i rilevatori di rootkit cercano gli ovvi elementi persistenti di cui un rootkit ha bisogno.

Se questo malware è solo RAM, allora può avere la stessa capacità di causare danni come altri malware che risiedono nella RAM. Come ha fatto notare @nealmcb, a meno che non possa scrivere sull'archiviazione persistente, un riavvio risolverà il problema in modo così generale che non sarà molto più preoccupante - non sarà certamente considerato un rootkit.

Tuttavia, per quanto riguarda il rilevamento di un riavvio, la scrittura su disco e il successivo spostamento verso la RAM e la copertura delle tracce, mi chiedo se il malware basato su Meterpreter possa farlo. In teoria sembra possibile.

    
risposta data 21.05.2011 - 01:36
fonte
2

Con Meterpreter (alcuni) le attività comuni di un attacco possono includere:

  1. Iniezione / migrazione del processo
  2. Password di dumping
  3. Registrazione delle sequenze di tasti
  4. Caricamento di altro malware
  5. Apertura di nuove porte / servizi
  6. Aggiunta di nuovi utenti
  7. Caricamento / download di file

Alcuni AV rileveranno un ex meterpreter semplice rilasciato su un sistema, se ad esempio viene inviato come parte di un documento dannoso. ( link totale del virus ), ma questo può essere rapidamente superato con l'uso del framework di codifica.

Come notato da altri IDS basati sulla rete come Snort ha signi fi cati per Meterpreter (supponendo che l'autore non abbia modificato in modo significativo il carico utile).

Per rilevare questo comportamento potresti voler guardare più verso un ID basato su host . C'è una migliore possibilità di rilevamento con questo tipo di sistema poiché HIDS cerca specificamente il comportamento che ho elencato piuttosto che le firme AV dei file. Un HIDS molto noto è OSSEC . Non l'ho provato in modo specifico con meterpreter, ma immagino che darebbe molti avvisi se le attività di cui sopra fossero prese.

    
risposta data 25.03.2015 - 06:23
fonte

Leggi altre domande sui tag