Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, funziona come uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.
Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.
Storia di Metasploit
H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.
La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.
Come usare Metasploit
Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.
Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.
Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. I sistemi Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.
Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.
Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.
Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.
Come imparare a usare Metasploit con Kali
Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. Metasploit e Linux infatti costituiscono un connubio perfetto, sia per chi muove i primi passi, sia per chi ne fa un uso avanzato o professionale. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.
Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.
Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.
Come ottenere Metasploit Framework
Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.
Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.
Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può contattarci.