如何防御黑客利用Metasploit發(fā)起的攻擊?
自動化安全工具已經(jīng)成為信息安全領(lǐng)域中進(jìn)步最大的方面之一。由于網(wǎng)絡(luò)與軟件及針對它們的威脅都在變得越來越復(fù)雜,因此自動化已經(jīng)成為不可或缺的一部分。
安全自動化并不是一個新概念。早在1995年出現(xiàn)的網(wǎng)絡(luò)分析安全管理工具(Security Administrator Tool for Analyzing Networks, SATAN)就是一個自動化安全工具,從那時起自動化不斷地發(fā)展壯大,后面加入了二進(jìn)制分析、惡意軟件研究、沙箱、漏洞掃描、代碼掃描等等。
根據(jù)自動化漏洞評估的結(jié)果,Metasploit已經(jīng)成為最流行的黑客工具,當(dāng)然也是一種保護(hù)企業(yè)網(wǎng)絡(luò)的重要工具。可是,由于Metasploit非常擅長發(fā)現(xiàn)和查找組織的弱點,因此大多數(shù)攻擊者都知道使用它可以輕松發(fā)現(xiàn)和查找到一個可攻擊的系統(tǒng)。
本文將介紹Metasploit的工作方式,為什么企業(yè)愿意使用它,以及如何采取一些控制措施,防止黑客使用Metasploit竊取組織內(nèi)部信息。
Metasploit的工作方式
開源軟件Metasploit是H.D. Moore在2003年開發(fā)的,它是少數(shù)幾個可用于執(zhí)行諸多滲透測試步驟的工具。在發(fā)現(xiàn)新漏洞時(這是很常見的),Metasploit會監(jiān)控Rapid7,然后Metasploit的200,000多個用戶會將漏洞添加到Metasploit的目錄上。然后,任何人只要使用Metasploit,就可以用它來測試特定系統(tǒng)的是否有這個漏洞。
Metasploit框架使Metasploit具有良好的可擴(kuò)展性,它的控制接口負(fù)責(zé)發(fā)現(xiàn)漏洞、攻擊漏洞,提交漏洞,然后通過一些接口加入攻擊后處理工具和報表工具。Metasploit框架可以從一個漏洞掃描程序?qū)霐?shù)據(jù),使用關(guān)于有漏洞主機(jī)的詳細(xì)信息來發(fā)現(xiàn)可攻擊漏洞,然后使用有效載荷對系統(tǒng)發(fā)起攻擊。所有這些操作都可以通過Metasploit的Web界面進(jìn)行管理,而它只是其中一種種管理接口,另外還有命令行工具和一些商業(yè)工具等等。
攻擊者可以將來漏洞掃描程序的結(jié)果導(dǎo)入到Metasploit框架的開源安全工具Armitage中,然后通過Metasploit的模塊來確定漏洞。一旦發(fā)現(xiàn)了漏洞,攻擊者就可以采取一種可行方法攻擊系統(tǒng),通過Shell或啟動Metasploit的meterpreter來控制這個系統(tǒng)。
這些有效載荷就是在獲得本地系統(tǒng)訪問之后執(zhí)行的一系列命令。這個過程需要參考一些文檔并使用一些數(shù)據(jù)庫技術(shù),在發(fā)現(xiàn)漏洞之后開發(fā)一種可行的攻擊方法。其中有效載荷數(shù)據(jù)庫包含用于提取本地系統(tǒng)密碼、安裝其他軟件或控制硬件等的模塊,這些功能很像以前BO2K等工具所具備的功能。
使用Metasploit保護(hù)企業(yè)安全
使用Metasploit作為一個通用的漏洞管理程序,可以確認(rèn)某一個漏洞已經(jīng)通過安裝補(bǔ)丁、配置變更或?qū)崿F(xiàn)補(bǔ)償控制等措施得到關(guān)閉。例如,如果還沒有補(bǔ)丁可以安裝,但是禁用某一個系統(tǒng)特性可以防止網(wǎng)絡(luò)攻擊,那么就可以使用Metasploit來驗證提議的策略(禁用系統(tǒng)特性)是符合預(yù)期的。此外,Metasploit還能驗證安全監(jiān)控工具能夠檢測到攻擊行為。
Metasploit的另一個優(yōu)點是它可以向人們展示如何輕松地攻擊和完全控制一個系統(tǒng),從而證明一個漏洞的嚴(yán)重性。例如,它可能發(fā)現(xiàn)一個目標(biāo)系統(tǒng)存在可遠(yuǎn)程攻擊的漏洞,然后在Metasploit中配置的一個有效載荷會通過遠(yuǎn)程Shell連接目標(biāo)系統(tǒng),這樣攻擊者就可以盜取數(shù)據(jù)或安裝鍵盤記錄程序。使用Metasploit執(zhí)行滲透測試,自動完成許多的人工檢查,這樣可以方便滲透測試人員繞過一些特定的區(qū)域,而將注意力放在需要深入分析的區(qū)域。
在企業(yè)環(huán)境中,Metasploit的最常見用途是對補(bǔ)丁或漏洞管理決策進(jìn)行優(yōu)先級劃分。一旦Metasploit針對一個漏洞發(fā)布一個模塊,企業(yè)就可以提高這些補(bǔ)丁的優(yōu)先級,特別是考慮到現(xiàn)代腳本黑客可能使用它來輕松攻破系統(tǒng)。此外,企業(yè)應(yīng)該將現(xiàn)有Metasploit模塊已經(jīng)發(fā)現(xiàn)的漏洞添加到需要打補(bǔ)丁或修復(fù)的漏洞列表上。
對抗Metasploit的攻擊
和其他信息安全工具一樣,Metasploit既可能用于做好事,也可能用于干壞事。黑帽及其他惡意黑客可能利用Metasploit攻擊企業(yè),從而發(fā)現(xiàn)漏洞,利用漏洞獲得網(wǎng)絡(luò)、應(yīng)用與數(shù)據(jù)的非授權(quán)訪問。
一些標(biāo)準(zhǔn)安全控制措施可以有效防御Metasploit攻擊,如安裝補(bǔ)丁、以最低權(quán)限運行應(yīng)用程序或進(jìn)程、只給可信主機(jī)提供網(wǎng)絡(luò)訪問及SANS Top 20 Critical Security Controls(20個頂級SANS重要安全控件)或OWASP Top Ten(10大開放Web應(yīng)用安全項目)所包含的其他通用方法。除非Metasploit攻擊使用“編碼”方法來逃避入侵檢測系統(tǒng)的流量檢測,否則它在通過網(wǎng)絡(luò)時會被檢測出來。除此之外,監(jiān)控網(wǎng)絡(luò)異常現(xiàn)象,或者使用基于主機(jī)的檢測工具檢測本地系統(tǒng)上運行的Metasploit,都可以檢測Metasploit活動。
和任何工具一樣,Metasploit可用于保護(hù)企業(yè)網(wǎng)絡(luò),也可用于破壞企業(yè)網(wǎng)絡(luò)。盡管Metasploit可以檢測漏洞和提供企業(yè)網(wǎng)絡(luò)所需要的一線防御,但是一定要注意,攻擊者可能利用相同的工具來發(fā)現(xiàn)相同的漏洞。
在企業(yè)安全工具中加入Metasploit有很多的好處,但是組織還需要利用其他工具和技術(shù)來防御來自Metasploit的攻擊行為。
