Metasploit

Das Metasploit-Projekt ist ein freies Open-Source-Projekt zur Computersicherheit, das Informationen über Sicherheitslücken bietet und bei Penetrationstests sowie der Entwicklung von IDS-Signaturen eingesetzt werden kann. Das bekannteste Teilprojekt ist das Metasploit Framework, ein Werkzeug zur Entwicklung und Ausführung von Exploits gegen verteilte Zielrechner. Andere wichtige Teilprojekte sind das Shellcode-Archiv und Forschung im Bereich der IT-Sicherheit.

Wie vergleichbare kommerzielle Lösungen wie CANVAS (von Immunity) oder Core Impact (von Core Security Technology), kann Metasploit von Administratoren eingesetzt werden, um die Schwachstellen von Computersystemen zu prüfen und diese bei Bedarf zu schließen. Andererseits kann es auch missbraucht werden, um in andere Systeme einzubrechen. Während der beschriebene Einsatz durch einen Administrator in seinem eigenen Netzwerk nicht nur legitim, sondern auch legal ist, erfüllt ein Einsatz ohne ausdrückliche Erlaubnis bei Fremdsystemen verschiedene Tatbestände der Computerkriminalität.

Metasploit Framework

Die grundlegenden Arbeitsschritte in der Verwendung des Frameworks sind

1. einen Exploit auswählen und konfigurieren; ein Exploit dient dem Eindringen in ein Zielsystem, in dem ein Programmfehler ausgenutzt wird. Version 4.0.0 enthielt zum Zeitpunkt der Freigabe 716 verschiedene Exploits für Windows, Unix/Linux, Mac OS X und andere Systeme^[1]; 103 mehr als in Version 3.5.0^[2].
2. optional prüfen, ob das Zielsystem für den gewählten Exploit überhaupt verwundbar ist;
3. eine Nutzlast oder auch Payload wählen und konfigurieren; Payload bezeichnet den Code, der auf dem Zielrechner bei einem erfolgreichen Einbruch ausgeführt werden soll, also z.B. eine Shell, den Meterpreter oder einen VNC-Server und
4. den Exploit ausführen.
5. Das weitere Vordringen auf dem Zielsystem nach einem erfolgreichen Angriff.

Diese Modularität, die es erlaubt, jeden Exploit mit jeder kompatiblen Nutzlast zu kombinieren, ist einer der großen Vorteile des Framework, da er eine Trennung der Aufgaben von Entwicklern (von Nutzlasten und Exploits) und Angreifern ermöglicht und die Ergebnisse kombiniert.

Die momentane stabile Version des Metasploit Framework (v4.0.0) wurde in der Programmiersprache Ruby implementiert. Es ist unter allen Versionen von Unix (einschließlich Linux und Mac OS X), sowie unter Windows lauffähig und kann per Kommandozeile sowie über eine in Java geschriebene grafische Benutzeroberfläche bedient werden. Das Metasploit Framework kann durch externe Add-Ons in verschiedenen Sprachen erweitert werden.

Um einen Exploit und eine Nutzlast zu wählen, benötigt man einige Informationen über das Zielsystem und die darauf installierten Netzwerkdienste. Diese Informationen können durch den Einsatz eines Portscanners wie Nmap erlangt werden, das auch die Erkennung des Betriebssystems durch OS-Fingerprinting ermöglicht. Vulnerability Scanner wie Nessus oder NeXpose können zusätzlich eingesetzt werden, um Sicherheitslücken auf dem Zielsystem zu entdecken.

Die Shellcode-Datenbank

Die Shellcode-Datenbank enthält in Assembler geschriebene Nutzlasten (Payloads) mit Quelltext, die vom Metasploit Framework eingesetzt werden.

Metasploitable

Um das Framework zu testen und eine Testumgebung für Angriffe zu schaffen, wurde eine virtuelle Distribution namens Metasploitable geschaffen. Mit dieser kann man in einem sicheren virtuellen Umfeld Angriffe ausprobieren.^[3]

Weblinks

• offizielle Webpräsenz der Software
• offizielle Webseite des Herstellers Rapid7
• Exploits für alle, ausführlicher Bericht von heise security
• Security Auditing mit Metasploit, freier Online-Artikel des ADMIN-Magazins

Quellen

1. ↑ Metasploit 4.0.0 Release Notes. In: metasploit.com. Abgerufen am 28. August 2011. 
2. ↑ Metasploit 3.5.0 Release Notes. In: metasploit.com. Abgerufen am 28. August 2011. 
3. ↑ Metasploitable Ankündigung im Metasploit Blog. In: Metasploit Blog. Abgerufen am 1. September 2010.