Metasploit, come utilizzare questo strumento di pentesting

26/11/2020

Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, diventato uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.

Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.

Metasploit, come utilizzare questo strumento di pentesting

Storia di Metasploit

H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.

La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.

 

Come usare Metasploit

Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.

Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.

Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. Le scatole Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.

Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.

Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.

Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.

 

Come imparare a usare Metasploit

Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.

Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.

Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.

 

Come ottenere Metasploit Framework

Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.

Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.

Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può farlo direttamente dal nostro Shop o contattandoci.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Sei costosi equivoci sui SIEM tradizionali

Sei costosi equivoci sui SIEM tradizionali

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti,...

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi...

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l'importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra...