Guida Post-exploitation evasion con Metasploit - Come fare?

czonta96

Utente Electrum
17 Gennaio 2022
198
61
122
199
Ultima modifica da un moderatore:
E' Metasploit un congegno realizzato per i lamer che non sanno fare niente?
SI

Si tratta però anche del mio tool preferito nel momento in cui si parla di evasione. La sfida più grande infatti, risiede nel fare pentesting con Metasploit contro un dispositivo protetto da AV. Metasploit, un tool popolare è tenuto costantemente sotto controllo dalle case produttrici di AV. La skill in Metasploit risiede esclusivamente nell'evasione, per tutto il resto avete già tutto pronto. Spesso si parla di creare backdoor FUD e quant'altro, e la cosa si ferma lì, per il semplice fatto che generare qualcosa di "FUD" con Metasploit è già complicatissimo. Oggi parlerò di come sopravvivere dopo il post-exploitation (Metasploit Meterpreter)

Sei un metasploit-main e non hai voglia di switchare a cobalt strike? Non ti va di scrivere il tuo RAT personale? Pazienza, ecco quello che devi fare per evitare la famosa frase "Meterpreter Session 1 - Died". Sulla schermata d'avvio del noto tool di pentesting è stato dedicato anche un manifesto simpatico che fa "Meterpreter Session died of dissentery"

1. Hai scritto un payload FUD? Non usarlo come vettore d'attacco iniziale, usalo per la persistenza stealth invece. Il target se è intelligente e si accorge che è un vaso di pandora lo regalerà a VirusTotal e manco lo aprirà, FUD o no.

2. Non fare system calls pazze fin da subito, se sai che c'è un AV dall'altra parte. In pratica, evita di fare keylogging o spegnere/riavviare il computer del target finché non hai fatto tampering;

3. Non usare gli exploit predefiniti della console, sono buoni a solo scopo sperimentale. In un'operazione di penetration testing reale, questi exploit verranno semplicemente bloccati dall'AV (se attivo), e usandoli rischiate di giocarvi anche la sessione; Riscriviteli da solo. Aggiungere junk code a un payload già esistente e cambiare il template può essere una soluzione.

4. Non invocare Mimikatz;

5. Non caricare virus che l'AV in questione già conosce tramite il comando "upload", nemmeno in una cartella .zip. Verrà quarantenata sia la .zip che la sessione;

6. Una tecnica di rilevamento per Meterpreter da parte degli AV è quella di rilevare automaticamente la presenza dell'estensione .stdapi e metsrv.dll. Switcha ad un payload senza stager e vai nelle opzioni digitando AutoLoadStDapi false e poi AutoSystemInfo false;

7. Non eseguire comandi in sequenza rapida e frettolosamente, anche se sono sys call innocenti. Gli AV attribuiscono un grado di sospettosità alle azioni performate da un file, superata una certa soglia scatta il blocco. Non c'è ragione d'avere fretta. Se avete fatto stealth persistence tanto riavrete per sempre una chiamata dal payload, anche se il target ha spento il dispositivo.