黑客web脚本攻击与防御技术核心剖析 如何防黑客利用Metasploit发起的攻击?
自动化安全工具已经成为信息安全领域中进步最大的方面之一。由于网络与软件及针对它们的威胁都在变得越来越复杂,因此自动化已经成为不可或缺的一部分。
安全自动化并不是一个新概念。早在1995年出现的网络分析安全管理工具(security administrator tool for analyzing networks, satan)就是一个自动化安全工具,从那时起自动化不断地发展壮大,后面加入了二进制分析、恶意软件研究、沙箱、漏洞扫描、代码扫描等等。
根据自动化漏洞评估的结果,metasploit已经成为最流行的黑客工具,当然也是一种保护企业网络的重要工具。可是,由于metasploit非常擅长发现和查找组织的弱点,因此大多数攻击者都知道使用它可以轻松发现和查找到一个可攻击的系统。
本文将介绍metasploit的工作方式,为什么企业愿意使用它,以及如何采取一些控制措施,防止黑客使用metasploit窃取组织内部信息。
metasploit的工作方式
开源软件metasploit是h.d. moore在2003年开发的,它是少数几个可用于执行诸多渗透测试步骤的工具。在发现新漏洞时(这是很常见的)黑客web脚本攻击与防御技术核心剖析,metasploit会监控rapid7,然后metasploit的200,000多个用户会将漏洞添加到metasploit的目录上。然后,任何人只要使用metasploit,就可以用它来测试特定系统的是否有这个漏洞。
metasploit框架使metasploit具有良好的可扩展性,它的控制接口负责发现漏洞、攻击漏洞,提交漏洞,然后通过一些接口加入攻击后处理工具和报表工具。metasploit框架可以从一个漏洞扫描程序导入数据,使用关于有漏洞主机的详细信息来发现可攻击漏洞,然后使用有效载荷对系统发起攻击。所有这些操作都可以通过metasploit的web界面进行管理,而它只是其中一种种管理接口,另外还有命令行工具和一些商业工具等等。
攻击者可以将来漏洞扫描程序的结果导入到metasploit框架的开源安全工具armitage中,然后通过metasploit的模块来确定漏洞。一旦发现了漏洞,攻击者就可以采取一种可行方法攻击系统,通过shell或启动metasploit的meterpreter来控制这个系统。
这些有效载荷就是在获得本地系统访问之后执行的一系列命令。这个过程需要参考一些文档并使用一些数据库技术,在发现漏洞之后开发一种可行的攻击方法。其中有效载荷数据库包含用于提取本地系统密码、安装其他软件或控制硬件等的模块,这些功能很像以前bo2k等工具所具备的功能。
使用metasploit保护企业安全
使用metasploit作为一个通用的漏洞管理程序,可以确认某一个漏洞已经通过安装补丁、配置变更或实现补偿控制等措施得到关闭。例如,如果还没有补丁可以安装,但是禁用某一个系统特性可以防止网络攻击,那么就可以使用metasploit来验证提议的策略(禁用系统特性)是符合预期的。此外,metasploit还能验证安全监控工具能够检测到攻击行为。
metasploit的另一个优点是它可以向人们展示如何轻松地攻击和完全控制一个系统,从而证明一个漏洞的严重性。例如,它可能发现一个目标系统存在可远程攻击的漏洞,然后在metasploit中配置的一个有效载荷会通过远程shell连接目标系统,这样攻击者就可以盗取数据或安装键盘记录程序。使用metasploit执行渗透测试,自动完成许多的人工检查,这样可以方便渗透测试人员绕过一些特定的区域,而将注意力放在需要深入分析的区域。