image

Hackertool Metasploit onzichtbaar voor virusscanners

zondag 8 januari 2012, 13:14 door Redactie, 5 reacties

Hackertool Metasploit is een geliefd gereedschap van penetratietesters en security professionals om de veiligheid van netwerken en systemen te testen. Veel bedrijfsnetwerken beschikken over intrusion detection/prevention systemen (IDS/IPS) en virusscanners. Bij een penetratietest kan een bedrijf als eis stellen dat ook de aanwezige beveiliging wordt getest, of die in staat is de aanvallen te detecteren.

Christian Kirsch van Rapid7, het beveiligingsbedrijf dat Metasploit in 2009 overnam, geeft enkele tips hoe penetratietesters hun aanvallen onzichtbaar voor anti-virus en IDS/IPS kunnen maken. Het gaat dan om zaken als het beperken van het aantal scans op het netwerk en het kiezen van de juiste opties binnen Metasploit, zoals applicatie en transport 'evasion'.

Anti-virus
"Zelfs als je de IDS/IPS systemen omzeilt, kan de virusscanner op de machine nog steeds je aanval stoppen als je niet voorzichtig bent. Veel anti-virusbedrijven detecteren Metasploit exploits en payloads als malware, omdat ze in een aanval zijn te gebruiken", aldus Kirsch. "Dat is ook een reden waarom je geen virusscanner op de machine moet gebruiken waarop je Metasploit draait." De hackertool bevat echter verschillende opties om detectie door anti-virus te omzeilen.

Onlangs werd de 'invisibility cloak' van Metasploit getest, met als doel om detectie door de tien populairste virusscanners te testen. "De resultaten waren beter dan we hadden gehoopt. Elke leverancier had gapende gaten, twee sloegen helemaal geen alarm." Namen wil Kirsch niet noemen. Ook wil hij niet zeggen hoe Metasploit de exploits onzichtbaar maakt. "Anders zouden de anti-virusbedrijven de gaten kunnen dichten."

Reacties (5)
08-01-2012, 13:21 door Anoniem
jawel, jullie weten toch dat metasploit open source is he?
./msfencode is wellicht een goed startpunt.
08-01-2012, 16:02 door [Account Verwijderd]
[Verwijderd]
08-01-2012, 19:46 door SLight
Metasploit omzeilt dan wel anti-virus software, maar zo lang je software gepatcht is zal het moeilijk worden om heel veel codes uit te kunnen voeren via Metasploit.
08-01-2012, 21:38 door N4ppy
Door SLight: Metasploit omzeilt dan wel anti-virus software, maar zo lang je software gepatcht is zal het moeilijk worden om heel veel codes uit te kunnen voeren via Metasploit.
Niet als je een gebruiker zo gek krijgt om op een link te klikken.
09-01-2012, 12:51 door Anoniem
Door N4ppy:
Niet als je een gebruiker zo gek krijgt om op een link te klikken.

Dan nog steeds: een goed gepatchte machine is vele malen lastiger te helpen. Ook via een drive-by.

Je zal die nc.exe toch echt via een of andere overflow in het geheugen moeten zien te krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.