web-dev-qa-db-ja.com

Meterpreterと同様のマルウェアを検出する方法?

ハードディスクを変更せず、RAMにのみ保存されるMeterpreterまたは同様のマルウェアを見つけることはできますか?

rkhunterchkrootkitのような最も一般的なアンチルートキットソフトウェアは見つかりません。

15
chris12345

まず、「meterpreter」はマルウェアではありません。侵害されたマシンと攻撃者との間のMeterpreterセッションのオープンを検出する方法を意味します。

ほとんどのアンチウイルスは、メモリ内のMeterpreterペイロードを検出できます。これらは公開されているため、Metasploitには、ペイロードを隠そうとする特殊なポリモーフィックエンジンがあります。

素晴らしい事実:Canvasの悪用フレームワークなどの商用ツールは、ウイルス対策会社とペイロードを検出しないように特別な契約を交わしています。

また、セッションが暗号化されていない場合は、ネットワークレベルで検出することができます(デフォルトでは、現在のところSSLになっています)。ほとんどのIDSはmeterpreterを検出できます。たとえば、Snortには署名があります。最初のMeterpreter DLLアップロードを検出することもできます。

また、ジョブ用のツールが存在します:Antimeter- http://packetstormsecurity.org/Win/antimeter.Zip -悪意のあるDLLが挿入されたプロセスを検出できますそれらを殺します。

ホストでは、netstatとProcess Explorerに、面白い接続と読み込まれたDLLが表示されます。

最後に、ディスクに何も触れないことは真実ではありません。スクリプトはまず悪意のあるDLLをディスクにアップロードし、それをプロセスに挿入します。

8
john

アバスト!他の多くのAVソリューションと同様に、完全なヒューリスティックを使用してMeterpreterを見つけることができます。

ただし、Metasploitフレームワークのシェルコードランチャーがshellcodeexecで変更されている場合、標準のAVはMeterpreterを検出できなくなります。

システム上のすべてのプロセスを調べて、疑わしいエントリポイント(そうではない)または疑わしいIATを探す必要があります(Meterpreterは、デフォルトでVirtualAllocEx、CreateProcessA、WriteProcessMemory、CreateRemoteThread、ReadProcessMemory、OpenProcess、CreateServiceA、StartServiceA、およびOpenProcessTokenを使用します)。

4
atdre

Meterpreter(一部)を使用すると、攻撃の一般的なアクティビティには次のようなものがあります。

  1. プロセス注入/移行
  2. パスワードのダンプ
  3. キーストロークのロギング
  4. マルウェアをさらに読み込んでいます
  5. 新しいポート/サービスを開く
  6. 新しいユーザーを追加する
  7. ファイルのアップロード/ダウンロード

一部のAVは、たとえば悪意のあるドキュメントの一部として送信された場合、システムにドロップされた単純なmeterpreter exeを取得します。 ( virus total link )しかし、それはエンコーディングフレームワークを使用することですぐに克服できます。

他の人が指摘したように、SnortなどのネットワークベースのIDSにはMeterpreterの署名があります(作成者がペイロードを大幅に変更しなかった場合)。

この動作を検出するには、ホストベースのIDSに注目する必要があります。このタイプのシステムでは、HIDSがファイルAVシグネチャではなく、リストした動作を特に探すため、検出の可能性が高くなります。非常によく知られているHIDSの1つは [〜#〜] ossec [〜#〜] です。 MeterPreterを使用して具体的にテストしたことはありませんが、上記のアクティビティが行われた場合に多くの警告が表示されると思います。

3
KDEx

ルートキットディテクターはRAMにのみ存在し、ルートキットディテクターはルートキットが必要とする明らかな永続的な要素を探します。

このマルウェアがRAM=の場合のみ、RAMに常駐する他のマルウェアと同じ損傷を与える可能性があります。@ nealmcbが指摘したように、永続ストレージに書き込めない場合は、再起動してください問題は完全に修正されるので、一般的にはそれほど心配する必要はありません。ルートキットとは見なされません。

ただし、再起動を検出し、ディスクに書き込んでからRAMに戻ってトラックをカバーすること)までは、Meterpreterベースのマルウェアがそれを実行できるかどうか疑問に思っています。

3
Rory Alsop