Estoy aprendiendo mientras configuro Snort, mi configuración consiste en un atacante (Linux), una víctima (teléfono inteligente Android) y un sistema de detección (IDS). Hasta ahora, he podido registrar todos los paquetes entre el atacante y la víctima, incluida la sesión del Meterpreter. ¿Qué debo hacer / investigar si deseo detectar la sesión del Meterpreter? Un poco de análisis de paquetes me dio un valor hexadecimal para el stager. La carga útil utilizada es android/meterpreter/reverse_tcp
.
Quiero crear un archivo de reglas para detectar una sesión de Meterpreter entre esos dos dispositivos. ¿Cómo debo proceder? Sería realmente útil si alguien me señalara en la dirección correcta. Gracias!