Omschrijving
Eenmaal een toestel overgenomen is, kunnen additionele bestanden geupload worden om een nieuwere versie van malware toe te voegen. Met deze nieuwe versie kunnen additionele services of acties op of vanuit de overgenomen device uitgevoerd worden. Een meterpreter channel is de manier waarop Metasploit zulke updates kan uitvoeren.
Aanvalsgedrag
Het verplaatsen van bestanden om een malware te updaten behoort tot de Ingress Tool transfer tactiek.
https://attack.mitre.org/techniques/T1105/
Hierbij worden bestaande malware of tools op de gecompromitteerde machine uitgebreid of verspreid naar andere machines binnen het netwerk. Dit verloopt niet altijd via een metepreter channel. Metasploit is één van de vele tools waarmee je zo een actie kan uitvoeren.
Aanvalsdetectoren
Security expert
- Poort 4444 is op zich al zeer verdacht, dit is de standaardpoort waar Metasploit gebruik van maakt.
- Nieuwe poorten die voorheen ongebruikt zijn kunnen als verdacht gezien worden
Algoritmes
- Verhoogde hoeveelheid data verstuurd binnen individuele berichten.
- Verandering in hoeveelheid traffiek: gemiddelde, minimum en maximum aantal berichten afgelopen minuut.
- udp protocol is verdacht
Referenties
Officiele documentatie van de MS08-067 exploit
https://support.microsoft.com/en-us/topic/ms08-067-vulnerability-in-server-service-could-allow-remote-code-execution-ac7878fc-be69-7143-472d-2507a179cd15
AI experimenten zijn uitgevoerd op basis van voorgaand werk
https://www.usenix.org/conference/cset16/workshop-program/presentation/lemay
