Реально ли отследить на какой ip отстукует meterpreter сессия
- Автор темы flesh91
- Дата начала
-
- Теги
- meterpreter анонимность
Когда человеку необходим совет, он описывает суть проблемы понятным, человеческим языком.
Пример :
"На хосте какой то сервис поднимает reverse сессию и передает данные. Необходимо понять - 1) Что за процесс это делает, 2) Какой ip и порт используется, 3) какие данные передаются. Подскажите каким методом это можно реализовать?"
В таких случаях человеку отвечают на поставленный им вопрос тоже корректно -
1) Чтобы узнать какой процесс поднимает сессию, можно воспользоваться taskmanagerом и firwallными решениями с трассировками инфы + так же может помочь сетевой фаззинг если вы закрутите трафик через локальную петлю. Вы так же можете это сделать wiresharkом - но будет слишком много информации и без знаний синтаксиса фильтринга шарка это сделать будет крайне тяжело. Вы можете воспользоваться системами IDS - к примеру snort или suricata и по определенным маркерам там уже есть написаные правила для детектирования подобных вещей. Так же может помочь простенький maltrail
2) Какой ip и порт используется - так же при учете выше указанных пунктов, такая информация будет доступна.
3) Чтобы понять какие данные передаются стоит использовать фаззинг трафика с парсером. Если данные передаются не в шифрованном виде вы сможете их разобрать.
Задавайте вопрос корректно, тогда вам дадут корректный ответ.
Мне вот, тоже, такой способ изложения не сильно понятен.
Если не хотите получить ответы в духе ваших вопросов, учитесь их задавать.
Осознал свою ошибку,
Детальное описание:
Получен доступ к машине на windows 7, с помощью эксплоита doublepulsar, пэйлоада reverse_tcp, inject делал в explorer.exe. Вопрос: возможно ли отследить как то ip адрес атакующего на машине жертвы? (В логах windows, диспетчере задач, службах, с помощью програм анализа сетевого трафика, и т.д., Где то в открытом виде он отображается, или ip и порт атакующего зашифрованы?)
Осознал свою ошибку, (лучше поздно чем никогда),
Детальное описание:
Получен доступ к машине на windows 7, с помощью эксплоита doublepulsar, пэйлоада reverse_tcp, inject делал в explorer.exe. Вопрос: возможно ли отследить как то ip адрес атакующего на машине жертвы? (В логах windows, диспетчере задач, службах, с помощью програм анализа сетевого трафика, и т.д., Где то в открытом виде он отображается, или ip и порт атакующего зашифрованы?)
В любом расширенном Process monitor можно будет видеть ваш ip и порт, но идентифицировать что это именно reverse-shell таким образом нельзя.
Системы анализа трафика могут обнаружить ваш сеанс на этапе эксплуатации каких либо публичных эксплойтов или маркеров в командах и пакетах. Как я писал выше Snort или Suricata это могут сделать.
В логах так же есть возможность оставить след - но тут все зависит от уровня включенного логирования.
Так же системы поведенческого анализа с функциями firewall подобные атаки обнаруживают.
Серьезные решения типо firepower так же имеют функционал анализа и подобные атаки блокируют. (стандартные шелы msf блокируются - информация проверена и подтверждена.)
Обучение наступательной кибербезопасности в игровой форме. Начать игру!