对渗透测试工具 Metasploit 的重新审视,具有15年历史的黑客工具即使在对抗现代防御措施时,仍有一些窍门。
使用流行的渗透测试和黑客框架 Metasploit 可能会花很多时间,但它并没有被淘汰。据研究人员称,黑客仍在使用该工具和一种称为Shikata Ga Nai的高效技术来越过现代端点保护措施。
FireEye研究人员史蒂夫·米勒(Steve Miller),埃文·里斯(Evan Reese)和尼克·卡尔(Nick Carr)周一发表的最新分析表明,阻止使用这种技术的攻击仍然是一项挑战。
研究人员写道:“尽管 Metasploit 已有15年以上的历史,但仍有一些核心技术未被发现,从而使恶意行为能够逃避检测。”
Metasploit 由网络安全专家(和黑客)HD Moore 于2003年创建。2009年,Rapid7 聘请了 Moore 并收购了 Metasploit。Moore 设计该工具是为了简化渗透测试人员的工作。就像许多类似的工具一样,它是逐渐被攻击计算机系统的黑帽黑客所采用的。
如今,Metasploit 已经是其第五版,并被 Rapid7 称为“渗透测试软件,可帮助你像攻击者一样行动。”
Metasploit,尤其是 Shikata Ga Nai,被一群黑客所利用。
FireEye 表示,涉嫌赞助中国威胁组织 APT20 使用了 Shikata Ga Nai,以及最近被 FireEye 认定为UNC902,TA505 和 APT41 的网络犯罪组织的攻击。2018年,ESET Research 在一项名为 Mosquito 的活动中使用 Shikata Ga Nai 编码器确定了 Turla APT 组。
“ Shikata Ga Nai 提供的编码实用程序通常在第一阶段后门中找到” Reese 告诉 Threatpost。他说,这种类型的恶意软件将在攻击过程的环境中获得最初的立足点。
“ Metasploits 核心技术之一是 Shikata Ga Nai(SGN)有效载荷编码方案,” FireEye 写道。“在过去的几年中,现代的检测系统有了很大的进步,并且通常会捕获已知恶意方法的普通版本。不过在许多情况下,如果威胁者知道他们在做什么,他们可以稍微修改现有代码以绕过检测。”
据研究人员称,通过 Metasploit SGN 技术进行的熟练代码调整仍然具有很高的杀伤力。他们将 SGN 编码器的成功归功于其独特的“多态XOR加法反馈编码器”。
研究人员写道:“这是多态的,因为每次编码的 Shellcode 创建都会与下一次不同。” SGN 通过使用动态指令替换、动态块顺序、随机互换寄存器、随机化指令顺序、插入垃圾代码、使用随机密钥以及其他指令之间的指令间隔随机化对恶意软件进行编码,使有效载荷显得良性。
XOR 或 XOR密码是一种以一组已知原理运行的加密算法。可以通过应用和重新应用 XOR 函数来执行加密和解密。
在 Metasploit 和 SGN 的上下文中,“在这种情况下,XOR 累加反馈是指算法通过随机密钥对将来的指令进行 XOR,然后将该指令添加到密钥中以再次用于编码下一条指令这一事实。解码 shellcode 是按照相反的步骤进行的过程。”
研究人员说,SGN 设法避免了过于依赖静态和动态检测的端点保护。确定代码的恶意意图所需的对内存中有效载荷的解码对系统而言过于繁重,使其不切实际。Reese 解释说,通过行为指标和沙箱进行检测也是不准确的。
“不同的引擎将分为静态或动态检测类别,包括机器学习,但是将检测范围分散到这些类别中的各个引擎上很重要。依靠单个检测或引擎是单点故障”他说。“完全无需机器学习就可以检测 SGN,甚至在博客中包含了YARA 规则,但是增加机器学习引擎……是增加检测深度的好方法。”
研究人员说,SGN 编码的有效载荷各不相同。他们说:“展望未来,我们希望 SGN 编码的有效载荷能够继续使用。”
题外话, 二向箔安全
最近出了很多免费的课程,想学黑客知识、运维安全、渗透测试、CTF等等 的小伙伴可以去看看
这些都是免费的,很新颖,想了解更多骚操作的,可以去学习学习
暗号:P01ar
2208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
