Metasploit是一个十分受欢迎的浸透测验结构,被视为安全测验人员手中的一把利器。但在另一方面由于他过于强壮,因而也常常被一些歹意攻击者所运用。当然,在本文咱们首要评论的是关于内存取证,这对于咱们来说是至关重要的。由于咱们(受害者)的机器极有或许会被歹意攻击者,注入Meterpreter(一种先进的,可动态扩展的Metasploit有效载荷),这是一种彻底驻留在内存中的shell,而且不会向受害者的驱动器写入任何内容。下面,我将向你展现怎么运用取证结构Volatility来找出Metasploit的蛛丝马迹。
在剖析内存镜像时,首要咱们应该搜集有关操作体系的信息,以挑选正确的Volatility配置文件。最佳做法是在内存镜像时记载体系版别,由于Volatility检测成果或许会有误。假如你是从第三方取得的镜像而且版别不知道,那么我主张你运用imageinfo插件:
以上的检测成果显现,该镜像的体系版别为Windows 7 SP1 x86,这次的成果十分精确我的体系版别的确为该版别。咱们运用pslist插件,来查看下进程列表:
你有发现什么不对的当地吗?一个PID 3000的进程,用户或许发动了防病毒更新进程?但奇怪的是,该进程在发动42秒后退出。让咱们运用netscan插件进一步的查下网络衔接状况:
能够看到,一个不知道的进程与192.168.1.39:4444建立了衔接。有经历的人一眼就能反应出,4444端口Metasploit的默许回连端口。Meterpreter注入方针体系进程,让咱们测验运用malfind插件找到它:
这看起来Meterpreter像是被搬迁到了PID为3312的svchost.exe上。让咱们将它转储到一个文件,并运用杀毒软件查杀看是否能被正确辨认:
从检测成果中咱们能够看到,尽管不是百分百的免杀,但大部分杀毒软件包含许多干流的杀毒软件,如McAfee,Malwarebytes,DrWeb等,居然都没有检测出该歹意进程。
假如你喜爱运用YARA规矩进行歹意软件检测,那么你能够编写自己的规矩或在线查找一些规矩,然后运用yarascan插件:
在这儿我写了一个十分简易的规矩:
现在让咱们回到之前的pslist输出,能够看到这儿仅有运转的Web阅读器是Internet Explorer(iexplore.exe,PID 2568和2640)。咱们运用iehistory插件来查看下前史阅读记载:
没错!受害者运用咱们看到的URL从服务器下载了一个名为antivirus_update.exe的程序。但这儿我有个疑问,是什么促进他们这么做的呢?让咱们用memdump插件转储Internet Explorer的进程内存并搜索“antivirus”字符串:
正如你所看到的,攻击者运用了一些社工技巧以及将地址做了短网址处理,从而使受害者上圈套。当受害者下载并运转文件后,攻击者就会取得一个meterpreter session。为了愈加的荫蔽,攻击者将其搬迁到了svchost.exe(PID 3312)。
这儿我还有个疑问,受害者真的运转了它吗?让咱们找到履行的依据!首要,咱们运用shimcache插件,它能够盯梢应用程序的最近修正时刻,文件完好途径和履行标志:
能够看到文件的确被履行了!让咱们持续,运转userassist插件获取注册表上的依据:
除了以上的方法,还有一些其它手法例如,预取文件。当然,你也能够在内存中找到这些依据,Volatility甚至有一个插件–prefetchparser。
[1] [2] 黑客接单网