Hackertool Metasploit is een geliefd gereedschap van penetratietesters en security professionals om de veiligheid van netwerken en systemen te testen. Veel bedrijfsnetwerken beschikken over intrusion detection/prevention systemen (IDS/IPS) en virusscanners. Bij een penetratietest kan een bedrijf als eis stellen dat ook de aanwezige beveiliging wordt getest, of die in staat is de aanvallen te detecteren.

Christian Kirsch van Rapid7, het beveiligingsbedrijf dat Metasploit in 2009 overnam, geeft enkele tips hoe penetratietesters hun aanvallen onzichtbaar voor anti-virus en IDS/IPS kunnen maken. Het gaat dan om zaken als het beperken van het aantal scans op het netwerk en het kiezen van de juiste opties binnen Metasploit, zoals applicatie en transport 'evasion'.

Anti-virus
"Zelfs als je de IDS/IPS systemen omzeilt, kan de virusscanner op de machine nog steeds je aanval stoppen als je niet voorzichtig bent. Veel anti-virusbedrijven detecteren Metasploit exploits en payloads als malware, omdat ze in een aanval zijn te gebruiken", aldus Kirsch. "Dat is ook een reden waarom je geen virusscanner op de machine moet gebruiken waarop je Metasploit draait." De hackertool bevat echter verschillende opties om detectie door anti-virus te omzeilen.

Onlangs werd de 'invisibility cloak' van Metasploit getest, met als doel om detectie door de tien populairste virusscanners te testen. "De resultaten waren beter dan we hadden gehoopt. Elke leverancier had gapende gaten, twee sloegen helemaal geen alarm." Namen wil Kirsch niet noemen. Ook wil hij niet zeggen hoe Metasploit de exploits onzichtbaar maakt. "Anders zouden de anti-virusbedrijven de gaten kunnen dichten."