Инструменту для тестирования на проникновения Metasploit в этом году исполняется 15 лет. Однако у хакеров он не теряет популярности как отличное средство заранее протестировать, насколько очередной вредонос способен обойти механизмы киберзащиты.
Исследователи из компании FireEye сообщают, что киберпреступники все еще используют инструмент вместе с высокоэффективной техникой под названием Shikata Ga Nai (в переводе с японского «ничего не может быть сделано», — прим. ред.), чтобы таким образом обойти современные механизмов защиты конечных точек.
Изначально инструмент разрабатывался как способ облегчить работу тестировщиков эксплоитов, однако злоумышленники взяли на вооружение Metasploit и начали использовать инструмент для атак на компьютерные системы.
Справка от Habr: В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплоитов. Так был рожден хорошо известный во всех кругах проект Metasploit. Первая версия фреймфорка была написана на языке Perl, содержавшая псевдографический интерфейс на базе библиотеки curses.
К 2007 году разработчики консолидировались, основав компанию Metasploit LLC; в это же время проект полностью переписали на Ruby и, частично на Си, Python и Ассемблер.
В октябре 2009 года, проект Metasploit был приобретен компанией Rapid7 с условием, что HD Moore останется техническим директором фреймворка, на что согласилась компания Rapid7.
Сегодня Metasploit является одной из популярнейших программ, имеющих самую большую базу эксплоитов, шеллкодов и кучу разнообразной документации, что не может не обрадовать.
Metasploit позволяет имитировать сетевую атаку и выявлять уязвимости системы, проверить эффективность работы IDS/IPS, или разрабатывать новые эксплоиты, с созданием подробного отчета. В народе его даже успели прозвать “хакерским швейцарским ножом”.
Техника Shikata Ga Nai (SGN), в свою очередь, использовалась в рамках недавних атак ряда киберпреступных группировок, в частности APT20, UNC902, TA505 и APT41 (группировка, предположительно взломавшая производителя утилиты TeamViewer).
Современные системы обнаружения значительно улучшились за последние несколько лет и часто могут распознать устаревшие вредоносные техники. Однако изменения кода с помощью комбинированного метода Metasploit SGN по-прежнему очень опасны.
Данный эффект, по словам экспертов, обеспечивает уникальный «полиморфный аддитивный энкодер XOR» кодера SGN. То есть, каждое создание закодированного shell-кода будет отличаться от предыдущего. SGN делает полезную нагрузку безопасной на вид, кодируя вредоносное ПО с помощью «динамической замены команд, динамического упорядочения блоков, случайного обмена регистрами, рандомизации порядка команд, вставки ненужного кода, использования случайного ключа и рандомизации расстояния между командами».
В итоге SGN удается обойти защиту конечных точек, которая слишком сильно полагается на методы статического и динамического обнаружения. Расшифровка полезной нагрузки в памяти для определения вредоносного кода слишком нагружает систему, делая такой подход непрактичным и более того неточным.
Читайте также на АКБ:
Polyglot – как стеганография XXI века служит орудием хакеров
США защитят электросети от кибератак – откатив оборудование в XX век
