En ce qui concerne la criminalistique, Metasploit a des charges utiles qui sont spécifiquement conçues pour rendre le travail de l'analyse médico-légale plus difficile. Par exemple, la charge utile la plus connue qui est sélectionnée par défaut avec de nombreux modules d'exploit est la charge utile meterpreter. Il s'exécute complètement en mémoire et ne touche pas le disque pour aucune opération (sauf demande spécifique de l'utilisateur). Ce qui signifie qu'il n'y aura aucune preuve dans le dossier de prélecture ou à tout autre endroit sur le disque.

Vous n'avez pas à effacer tous les journaux d'événements. Vous pouvez effacer de manière sélective tout journal d'événements que vous souhaitez via le script meterpreter event_manager.

Meterpreter dispose d'un outil appelé timestomp qui peut modifier la modification, l'accès, heure de création et d'exécution de tout fichier sur le disque dur à une valeur arbitraire. Vous pouvez effacer en toute sécurité n'importe quel fichier avec le module sdel (suppression en toute sécurité) qui non seulement efface en toute sécurité le contenu du fichier, mais renomme le fichier en une longue chaîne aléatoire avant la suppression, ce qui rend la récupération légale non seulement le contenu mais aussi les métadonnées du fichier sont très difficiles.

Maintenant, vient à votre deuxième partie de l'utilisation de Metasploit par de véritables attaquants malveillants dans des attaques du monde réel. Des rapports ont fait état de l’utilisation de Metasploit dans l’une des attaques contre l’installation nucléaire iranienne. La raison pour laquelle vous ne voyez pas Metasploit plus souvent est due à la nature open source du produit. Étant donné que les exploits et les charges utiles sont accessibles à tous, par défaut, tous les produits de sécurité tels que les antivirus, IDS / IPS, etc. considèrent ces fichiers comme malveillants. L'industrie de la défense est allée à un point tel que même si l'on crée un fichier complètement inoffensif avec Metasploit, il sera détecté par presque toutes les solutions audiovisuelles. Générez une charge utile vide comme:

  echo -n | msfencode -e generic / none -t exe > myn.exe  

Téléchargez-le sur VirusTotal et vous verrez que plus de la moitié des solutions antivirus le détectent comme malveillant. Plus de détails peuvent être trouvés sur le blog de Matt Weeks ici.

Avec ce comportement, aucun attaquant ne risque d'utiliser Metasploit pour des attaques réelles en raison du taux de détection très élevé. Les modules peuvent être facilement personnalisés et contourner les contrôles audiovisuels et autres contrôles de sécurité via Metasploit est également assez facile. Cependant, à ce stade, il est difficile de déterminer si la charge utile est écrite à partir de zéro ou si le module Metasploit a été modifié. Par conséquent, il est difficile de dire avec certitude combien d'attaquants ont utilisé ou continuent d'utiliser Metasploit dans leurs opérations.

Je ne connais pas les attaquants / hackers malveillants, mais je connais plusieurs pentesters (y compris moi-même) qui incluent Metasploit dans leurs boîtes à outils. Ce n'est de loin pas le seul outil utilisé, mais il a certainement ses utilisations. Cela étant dit, votre question semble porter sur "couvrir vos traces", ce qui est naturellement quelque chose de plus utile à l'attaquant malveillant. Lors de mes engagements pentest, nous falsifions rarement les journaux, sauf lorsque la détection de la falsification des journaux est l'un des objectifs de "l'équipe bleue". (Ensuite, nous le faisons pour voir s'il est détecté.)

Oui, les pentesters utilisent Metasploit. Avec des modèles d'exe personnalisés et shikata_ga_nai, vous êtes en mesure de tromper presque toutes les solutions AV (Google pour l'évasion AV pour en savoir plus à ce sujet) et la charge utile meterpreter est vraiment pratique pour augmenter les privilèges dans les domaines Windows.

Cela étant dit, Metasploit n'est qu'un outil parmi tant d'autres et un bon pentester devrait connaître et utiliser le bon outil pour la bonne tâche.

Effacer des entrées spécifiques du journal des événements peut s'avérer utile pour un pentest lorsque l'objectif est de ne pas être détecté et de tromper les systèmes SIEM. Cependant, ce n'est pas parce que cette fonctionnalité est absente de Metasploit (pour le moment) que vous ne pouvez pas utiliser tous les modules utiles qui sont déjà là.

Concernant les boîtes à outils personnalisées, j'imagine que ce serait plus efficace pour fork Metasploit ou pour simplement écrire vos propres modules de post-exploitation (comme la suppression sélective du journal des événements).

C'est la beauté des logiciels open source.

Il y a des avantages à utiliser les produits Immunity Security ou CoreSec par rapport à Rapid7 (qu'il s'agisse des offres commerciales Metasploit ou du FOSS MetaSploit Framework aka MSF). Vous devrez les tester par vous-même, mais cela concerne principalement la capacité à exécuter des exploits en conserve et à organiser les plans / résultats. Autant que je sache, tous les exploits MSF peuvent être exécutés à partir de Core IMPACT. Metasploit ne va nulle part de si tôt, cependant, et peut être utilisé avec tous les autres outils. Voyons si je peux d'abord résoudre certaines de ses faiblesses.

En termes de charge utile, les capacités de MSF, y compris meterpreter, laissent beaucoup à désirer. La plupart des charges utiles MSF sont faciles à repérer par AV et HIPS de toutes sortes. L'exécutable de charge utile par défaut implémente de nombreux Windowsismes courants que je n'aime pas utiliser, tels que les appels et les dépendances de bibliothèque W32 standard. INNUENDO (et le MOSDEF antérieur) d'ImmSec est meilleur, mais MOSDEF a également vu quelques empreintes digitales récemment. La liste blanche des applications est une autre préoccupation pour toute technologie de porte dérobée d'implant, mais voici un contournement qui exploite certaines parties de MSF. Voici un autre qui exploite Powershell. De nombreux professionnels évitent l'exécutable par défaut et utilisent l'indicateur generate -t ​​ (ou via msfvenom) pour supprimer psh (Powershell), dll (pour l'injection de registre AppInit) ou un autre format peu courant.

Bien que MSF soit partiellement intégré à Beacon de Cobalt Strike, les capacités vont bien au-delà de ce que Meterpreter peut faire seul. Fortement recommandé!

De plus, j'ai entendu parler d'autres personnes utilisant des outils tels que Throwback pour sa simplicité. C'est bien d'avoir des alternatives. Un autre que j'ai trouvé est ClickOnce.

MSF lui-même semble même emprunter une nouvelle voie en attaquant Windows moderne (Win7 et supérieur, Win Server 2k8r2 ou supérieur) via Powershell avec web_delivery. Un attaquant peut s'appuyer sur ce framework pour injecter beaucoup plus d'actions Powershell pour les tâches post-exploitation, telles que:

• https://github.com/mattifestation/PowerSploit - plus d'informations - plus d'informations
• https://github.com/Veil-Framework/PowerTools - Veil dispose également de son propre système de livraison de charge utile, Veil-Catapult, ainsi que de nombreuses autres facettes
• https://github.com/samratashok/nishang
• https://github.com/clymb3r / PowerShell
• https://github.com/PyroTek3/PowerShell-AD-Recon
• https: // github .com / leechristensen / UnmanagedPowerShell
• https://github.com/trustedsec/unicorn (et plus encore avec TokenHunter et PasswordHunter)
• https://github.com/roo7break/PowerShell-Scripts
• https://github.com/nullbind/Powershellery
• https://github.com/enigma0x3?tab=repositories

Le module MSF, web_delivery, peut également fournir une charge utile Python ou PHP et peut éventuellement être modifié pour prendre en charge d'autres interpréteurs tels que Ruby. Si vous voulez mettre tout cela ensemble pour une meilleure compréhension de «pourquoi Powershell sur MSF», consultez ce billet de blog - http://www.labofapenetrationtester.com/2015/04/pillage-the-village-powershell -version.html

Un souci supplémentaire pour Powershell est de courir contre Device Guard sous Windows 10.

[UPDATE] Selon l'un des commentaires ci-dessous, Metasploit Pro peut utiliser des charges utiles plus puissantes qui sont également intégrées dans la version open-source de MSF. Si vous avez Metasploit Pro, vérifiez les améliorations du module auxiliaire / pro, telles que generate_dynamic_stager. Si ce n'est pas le cas, lisez les charges utiles de compteur sans étapes.

Les outils qui utilisent TCP (avec DNS) peuvent être facilement mandatés via Meterpreter en utilisant la commande msfconsole route, proxychains et socks4a module serveur. Une fois la session créée, configurez une route vers son réseau (ou même localhost, comme indiqué dans le premier lien de ce paragraphe) via son identifiant de session. Ensuite, exécutez le module socks4a et transmettez sa configuration au fichier proxychains.conf. Même le DNS doit passer correctement. Il existe probablement plusieurs façons d'exécuter des outils externes via Metasploit. Comme Ruby (et Perl avant lui), Metasploit est un framework où «il y a plus d'une façon de le faire». C'est à vous, en tant que développeur, d'intégrer vos idées. En utilisant la puissance des logiciels open source, apportez vos modifications et rejoignez la communauté.

Oui, Metasploit est très couramment utilisé par les professionnels de l'industrie.

Voir par exemple ce lien.

Oui, j'utilise Metasploit pour exploiter une vulnérabilité connue qui a exploité écrit dans Metasploit. Dans mon cas , nous avons exploité avec Metasploit juste pour prouver le risque de la vulnérabilité. Montrez le risque au client. Donc, fondamentalement, le client sait quand nous voulons exploiter cette vulnérabilité.