Nueva herramienta open source detecta intrusiones realizadas con Metasploit

30 Jul 2009 en Seguridad

El framework de pruebas de vulnerabilidades Metasploit ha tenido efectos devastadores a través de su Meterpreter, elemento que explota vulnerabilidades de una máquina host en memoria y sin dejar la menor huella. Meterpreter resulta indetectable para los sistemas IPS (Intrusion Prevention Systems) y es casi imposible saber qué es lo que un atacante hizo a la máquina victimada.
Dos investigadores de la firma Mediant anunciaron, en el marco del evento de hackers y seguridad Black Hat, un framework forense capaz de establecer si una máquina fue atacada por Meterpreter. Meterpreter inició sus andanzas en el 2004 y es un módulo de explotación de hosts residente en memoria. Es por esa razón que no es visto por los forenses tradicionales de discos. Los investigadores ahora usarán forenses en memoria para reconstruir lo que un atacante ha hecho con Meterpreter.
La herramienta open source en cuestión es Metasploit Forensic Framework. Metasploit es un marco de prueba de vulnerabilidad open source que tiene a Meterpreter como una de sus herramientas. Pero Meterpreter resultó tan eficiente como herramienta de prueba/tes de ataque y vulnerabilidad, que pasó a ser usado por los hackers en ataques reales.
La nueva herramienta exige que el usuario tenga idea de si su máquina ha sido comprometida. Luego y usando una herramienta gratuita de Mediant denominada Memorize que analiza memoria, el usuario determina cuál fue la memoria que usó el proceso vulnerado. Metasploit Forensic Framework se ocupará luego de recrear la escena determinando qué módulos de Meterpreter se cargaron. También indicará las claves de registros puntuales que el hacker accedió; si cargó un archivo u otros actos.
La herramienta es open source licenciada bajo el modelo BSD y es modular para que la comunidad de usuarios pueda ir agregando módulos de sus propios desarrollos.
La cuestionada herramienta Meterpreter, por su parte, también está siendo mejorada. El fundador de Metasploit, H.D. Moore, agregó nuevos dispositivos en las últimas semanas. Por esa razón, es de esperar que la gente que trabaja en el proyecto Metasploit con Moore, logre superar en algún momento cercano las capacidades de Metasploit Forensic Framework, algo que se ha convertido en parte del juego de la seguridad.
La herramienta utiliza funcionalidad del administrador de memoria de Windows y la parte que identifica los comandos específicos podría ser burlada por Metasploit, según lo reconocen los mismos autores de esta herramienta.
El binario de Meterpreter está siendo reforzado, pero los administradores de seguridad tienen una forma de seguirle la pista a su presencia: sospechar cuando el tráfico SSL procede de puertos que no sean el 80 o el 443.