Trabajo en la creación de firmas para todos los módulos de metasploit. Necesito estimular casi todos los ataques (exploits) en metasploit sin realmente apuntar a una víctima real (no creo que autopwn pueda ayudar aquí).
La mayoría de los módulos en metasploit verifican que hay una víctima en el otro lado, ¿hay alguna manera de evitarlo? API? es imposible crear una máquina vulnerable para todos los módulos de metasploit.
Su ayuda será apreciada.
Las máquinas virtuales son ciertamente una buena opción, hay muchos sistemas listos para usar que puede activar (por ejemplo, Metasploitable ). Eso, combinado con un TCPdump del tráfico, debe proporcionar la mayor parte de la información que necesita.
Dicho esto, es posible que tenga más suerte al crear firmas para Metasploit Payloads . Hay menos de ellos, cambian con menos frecuencia y puede estar seguro de que si lo detecta, ese es el tráfico que desea identificar o bloquear. También funcionará cuando se agreguen nuevos exploits a Metasploit, que es muy frecuente.
Metasploit incluye algunas habilidades para venciendo la detección basada en firmas , así que eso es algo que debes tener en cuenta. cuenta también.
Construí el primer programa oficial de control de calidad de Rapid7 Metasploit, por lo que quizás pueda ser de ayuda.
Sí, parece que es imposible crear máquinas virtuales para todos los módulos. Hay muchos de ellos. Por suerte para ti, nadie usa la mayoría de ellos. Me concentraría en los 50 principales. Debería aclarar qué tipo de firma está intentando crear (AV, IDS, etc.) o al menos la perspectiva del ataque que podría ver. Para este ejercicio, asumiré que estás en la red.
Puede capturar al menos la señal inicial del ataque sin una víctima, suponiendo un ataque remoto, en algunos casos esto sería suficiente. Los aspectos del cliente son un poco más complicados, principalmente porque hay muchos objetivos en los módulos que evitarán que se envíe un exploit si no se cumplen ciertas condiciones.
Resolvimos esto en R7 enfocándonos en los principales exploits y módulos auxiliares, y construyendo máquinas virtuales que podrían usarse en las pruebas. Jugamos con la idea de repetir el tráfico de la víctima, lo que nos permitiría eliminarlo de la ecuación, pero nunca llegó tan lejos. De todos modos, es solo una optimización, ya que todavía necesitas capturar la interacción inicial para poder reproducirla.
En resumen, debe ensuciarse las manos y comprender lo que hace el módulo para construir firmas rápidamente. Lo siento, no hay una respuesta fácil: /.
Considere Glastopf . He tenido experiencia con Metasploit corriendo contra glastopf, y msf pensó que el objetivo era vulnerable a todo. Puede alojar glastopf en la máquina local y señalar msf a ella.
Glastopf es un honeypot único que está diseñado para parecer la computadora y el software más vulnerables posible. Responde a cada solicitud de datos con lo que quiera el solicitante.
Lea otras preguntas en las etiquetas metasploit