Mivel a detektálás hagyományos eszközökkel bonyolult, eddig szinte lehetetlen volt a támadást detektálni és szinte lehetetlen volt eddig tudni, hogy a Meterpreter-rel megtámadott gépen mit csinál a támadó.
A Las Vegas-i Black Hat konferencián a Mandiant két kutatója, Peter Silberman és Steve Davis egy új elemző, analizáló, nyomkereső keretrendszert mutatott be Metasploit Forensic Framework néven.
A keretrendszer képes detektálni, hogy az adott rendszert megtámadták-e az egyébként nem új, 2004 óta létező Meterpreter-rel.
"Futtahatod a Metasploit Forensic Framework-öt a megtámadott memórián és [az] fel fogja ismerni, hogy mely Metasploit Meterpreter modulok vannak betöltve," mondta Silberman. "Azt is meg fogja mondani, ha a támadó hozzáfért egy bizonyos registry kulcshoz, fájlt töltött fel vagy más egyéb olyat tett, amit egy támadó csinálhat."
A stuff nyílt forrású, BSD licenc alatt teszik közzé.
A részletek itt.
(A dokumentációja szerint a Meterpreter-t Windows-ra implementálták, de a tervezéséből adódóan könnyen portolható más operációs rendszerre is, például Linux-ra. A dokumentum 2004-ben készült. A Metasploit Forensic Framework cikk írásának pillanatában még széles körben nem elérhető.)
- A hozzászóláshoz be kell jelentkezni
- 4063 megtekintés