Metasploit
aus Wikipedia, der freien Enzyklopädie
| Metasploit | |
|---|---|
| Aktuelle Version: | 3.0 (27. März 2007) |
| Betriebssystem: | diverse Unix-Derivate |
| Kategorie: | Sicherheitssoftware |
| Lizenz: | GPLv2 und Artistic License |
| Deutschsprachig: | nein |
| Website: | metasploit.com |
Das Metasploit-Projekt ist ein Open-Source-Projekt zur Computersicherheit, das Informationen über Sicherheitslücken bietet und bei Penetrationstests sowie der Entwicklung von IDS-Signaturen eingesetzt werden kann. Das bekannteste Teilprojekt ist das Metasploit Framework, ein Werkzeug zur Entwicklung und Ausführung von Exploits gegen verteilte Zielrechner. Andere wichtige Teilprojekte sind die Opcode-Datenbank, das Shellcode-Archiv und Forschung im Bereich der IT-Sicherheit.
Das Metasploit Framework ist vor allem für die Veröffentlichung der technisch ausgefeiltesten Exploits von veröffentlichten Sicherheitslücken bekannt, nicht unbedingt aber für die aktuellsten. Darüber hinaus ist das Framework ein mächtiges Werkzeug für IT-Sicherheitsforscher zur Untersuchung von möglichten Sicherheitslücken.
Wie vergleichbare kommerzielle Lösungen wie CANVAS (von Immunity) oder Core Impact (von Core Security Technology), kann Metasploit von Administratoren eingesetzt werden, um die Schwachstellen von Computersystemen zu prüfen, um sie dagegen zu schützen. Andererseits kann es auch von Hackern und Script kiddies missbraucht werden, um in andere Systeme einzubrechen. Wie viele Sicherheitswerkzeuge, kann Metasploit zu legitimen wie zu illegalen Zwecken eingesetzt werden. Wie bei vielen Dingen im Leben, bestimmt die Verwendung des Werkzeugs die Bewertung seiner Wirkung. Letztendlich ist es auch die Verwendung, die die juristische Bewertung beeinflusst. Ist der beschriebene Einsatz durch einen Administrator in seinem eigenen Netzwerk nicht nur legitim, sondern auch legal, erfüllt ein Einsatz ohne ausdrückliche Erlaubnis bei Fremdsystemen Tatbestände der Computerkriminalität.
Inhaltsverzeichnis |
[Bearbeiten] Metasploit Framework
Bei der Verwendung des Frameworks bestehen die grundlegenden Schritte zur Ausnutzung einer Sicherheitslücke darin
- einen Exploit auszuwählen und zu konfigurieren (also Code, der in ein Zielsystem eindringt, in dem er einen Programmfehler ausnutzt); etwa 100 verschiedene Exploits für Windows, Unix/Linux und Mac OS X Systeme sind enthalten);
- (optional) zu prüfen, ob das Zielsystem für den gewählten Exploit überhaupt verwundbar ist;
- eine Nutzlast zu wählen und zu konfigurieren, also Code, der auf dem Zielrechner bei einem erfolgreichen Einbruch eingeführt werden soll, also z.B. eine Shell oder einen VNC-Server und
- den Exploit auszuführen.
Diese Modularität, die es erlaubt, jeden Exploit mit jeder Nutzlast zu kombinieren, ist einer der großen Vorteile des Framework, da er eine Trennung der Aufgaben von Entwicklern (von Nutzlasten und Exploits) und Angreifern ermöglicht und die Ergebnisse kombiniert.
Die momentane stabile Version des Metasploit Framework (v2.7) wurde in der Programmiersprache Perl geschrieben. Version 3.0, die momentan in der Entwicklungsphase ist, wird in der Programmiersprache Ruby implementiert. Es ist unter allen Versionen von Unix (einschließlich Linux und Mac OS X), sowie unter Windows mit Cygwin lauffähig. Es kann über Kommandozeile sowie über ein Web-Interface bedient werden. Das Web-Interface soll auf dem Rechner des Angreifers ausgeführt werden. Eine Demoversion kann auf http://www.metasploit.com:55555 ausprobiert werden. Das Metasploit Framework kann durch externe Add-Ons in verschiedenen Sprachen erweitert werden.
Um eine Exploit und eine Nutzlast zu wählen, benötigt man einige Informationen über das Zielsystem und die darauf installierten Netzwerkdienste. Diese Informationen können durch den Einsatz eines Portscanners wie Nmap erlangt werden, das auch die Erkennung des Betriebssystems durch OS-Fingerprinting ermöglicht. Der Vulnerability Scanner Nessus kann zusätzlich eingesetzt werden, um Sicherheitslücken auf dem Zielsystem zu entdecken.
[Bearbeiten] Die Opcode-Datenbank
Die Opcode-Datenbank ist ein wichtiges Nachschlagewerk für Entwickler von neuen Exploits. Exploits, die Buffer Overflows unter Windows ausnutzen, benötigen oft genaue Kenntnisse über die Position eines bestimmten Opcode im anzugreifenden Programm oder der eingebundenen DLL. Diese Positionen unterscheiden sich in den verschienden Versionen und Patches eines Betriebssystems. Die verschiedenen Opcodes der Datenbank erlaubt es also, Exploits auf verschiedenen Versionen eines Ziel-Betriebssystems lauffähig zu machen.
[Bearbeiten] Die Shellcode-Datenbank
Die Shellcode-Datenbank enthält in Assembler geschriebene Nutzlasten mit Quelltext, die vom Metasploit Framework eingesetzt werden.
[Bearbeiten] Weblinks
- The Metasploit Project Offizielle Webseite
- Powerful payloads: The evolution of exploit frameworks, searchsecurity.com
- Schritt-für-Schritt Anleitung, wie man ein System mit der Kommandozeile
msfconsoleangreift - Schritt-für-Schritt Anleitung, eines Angriffs mit dem Web-Interface
- Chapter 12: Writing Exploits III aus Sockets, Shellcode, Porting & Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals von James C. Foster (ISBN 1597490059). Das Kapitel wurde von Vincent Liu geschrieben und erklärt, wie Metasploit eingesetzt wird, um einen Pufferüberlauf-Exploit von Grund auf zu entwickeln.
