Sto imparando durante la configurazione di Snort, la mia configurazione consiste in un utente malintenzionato (Linux), una vittima (smartphone Android) e un sistema di rilevamento (IDS). Finora, sono stato in grado di registrare tutti i pacchetti tra l'attaccante e la vittima, inclusa la sessione Meterpreter. Cosa devo fare / ricercare se voglio rilevare la sessione Meterpreter? Un po 'di analisi dei pacchetti mi ha dato un valore esadecimale per lo stager. Il payload utilizzato è android/meterpreter/reverse_tcp
.
Voglio creare un file di regole per rilevare una sessione Meterpreter tra questi due dispositivi. Come dovrei procedere? Sarebbe davvero utile se qualcuno mi indicasse la giusta direzione. Grazie!