自動化安全工具已經(jīng)成為信息安全領(lǐng)域中進步最大的方面之一。由于網(wǎng)絡(luò)與軟件及針對它們的威脅都在變得越來越復(fù)雜，因此自動化已經(jīng)成為不可或缺的一部分。

[[115088]]

安全自動化并不是一個新概念。早在1995年出現(xiàn)的網(wǎng)絡(luò)分析安全管理工具(Security Administrator Tool for Analyzing Networks, SATAN)就是一個自動化安全工具，從那時起自動化不斷地發(fā)展壯大，后面加入了二進制分析、惡意軟件研究、沙箱、漏洞掃描、代碼掃描等等。

根據(jù)自動化漏洞評估的結(jié)果，Metasploit已經(jīng)成為最流行的黑客工具，當然也是一種保護企業(yè)網(wǎng)絡(luò)的重要工具?？墒牵捎贛etasploit非常擅長發(fā)現(xiàn)和查找組織的弱點，因此大多數(shù)攻擊者都知道使用它可以輕松發(fā)現(xiàn)和查找到一個可攻擊的系統(tǒng)。

本文將介紹Metasploit的工作方式，為什么企業(yè)愿意使用它，以及如何采取一些控制措施，防止黑客使用Metasploit竊取組織內(nèi)部信息。

Metasploit的工作方式

開源軟件Metasploit是H.D. Moore在2003年開發(fā)的，它是少數(shù)幾個可用于執(zhí)行諸多滲透測試步驟的工具。在發(fā)現(xiàn)新漏洞時(這是很常見的)，Metasploit會監(jiān)控Rapid7，然后Metasploit的200,000多個用戶會將漏洞添加到Metasploit的目錄上。然后，任何人只要使用Metasploit，就可以用它來測試特定系統(tǒng)的是否有這個漏洞。

Metasploit框架使Metasploit具有良好的可擴展性，它的控制接口負責(zé)發(fā)現(xiàn)漏洞、攻擊漏洞，提交漏洞，然后通過一些接口加入攻擊后處理工具和報表工具。Metasploit框架可以從一個漏洞掃描程序?qū)霐?shù)據(jù)，使用關(guān)于有漏洞主機的詳細信息來發(fā)現(xiàn)可攻擊漏洞，然后使用有效載荷對系統(tǒng)發(fā)起攻擊。所有這些操作都可以通過Metasploit的Web界面進行管理，而它只是其中一種種管理接口，另外還有命令行工具和一些商業(yè)工具等等。

攻擊者可以將來漏洞掃描程序的結(jié)果導(dǎo)入到Metasploit框架的開源安全工具Armitage中，然后通過Metasploit的模塊來確定漏洞。一旦發(fā)現(xiàn)了漏洞，攻擊者就可以采取一種可行方法攻擊系統(tǒng)，通過Shell或啟動Metasploit的meterpreter來控制這個系統(tǒng)。

這些有效載荷就是在獲得本地系統(tǒng)訪問之后執(zhí)行的一系列命令。這個過程需要參考一些文檔并使用一些數(shù)據(jù)庫技術(shù)，在發(fā)現(xiàn)漏洞之后開發(fā)一種可行的攻擊方法。其中有效載荷數(shù)據(jù)庫包含用于提取本地系統(tǒng)密碼、安裝其他軟件或控制硬件等的模塊，這些功能很像以前BO2K等工具所具備的功能。

使用Metasploit保護企業(yè)安全

使用Metasploit作為一個通用的漏洞管理程序，可以確認某一個漏洞已經(jīng)通過安裝補丁、配置變更或?qū)崿F(xiàn)補償控制等措施得到關(guān)閉。例如，如果還沒有補丁可以安裝，但是禁用某一個系統(tǒng)特性可以防止網(wǎng)絡(luò)攻擊，那么就可以使用Metasploit來驗證提議的策略(禁用系統(tǒng)特性)是符合預(yù)期的。此外，Metasploit還能驗證安全監(jiān)控工具能夠檢測到攻擊行為。

Metasploit的另一個優(yōu)點是它可以向人們展示如何輕松地攻擊和完全控制一個系統(tǒng)，從而證明一個漏洞的嚴重性。例如，它可能發(fā)現(xiàn)一個目標系統(tǒng)存在可遠程攻擊的漏洞，然后在Metasploit中配置的一個有效載荷會通過遠程Shell連接目標系統(tǒng)，這樣攻擊者就可以盜取數(shù)據(jù)或安裝鍵盤記錄程序。使用Metasploit執(zhí)行滲透測試，自動完成許多的人工檢查，這樣可以方便滲透測試人員繞過一些特定的區(qū)域，而將注意力放在需要深入分析的區(qū)域。

在企業(yè)環(huán)境中，Metasploit的最常見用途是對補丁或漏洞管理決策進行優(yōu)先級劃分。一旦Metasploit針對一個漏洞發(fā)布一個模塊，企業(yè)就可以提高這些補丁的優(yōu)先級，特別是考慮到現(xiàn)代腳本黑客可能使用它來輕松攻破系統(tǒng)。此外，企業(yè)應(yīng)該將現(xiàn)有Metasploit模塊已經(jīng)發(fā)現(xiàn)的漏洞添加到需要打補丁或修復(fù)的漏洞列表上。

對抗Metasploit的攻擊

和其他信息安全工具一樣，Metasploit既可能用于做好事，也可能用于干壞事。黑帽及其他惡意黑客可能利用Metasploit攻擊企業(yè)，從而發(fā)現(xiàn)漏洞，利用漏洞獲得網(wǎng)絡(luò)、應(yīng)用與數(shù)據(jù)的非授權(quán)訪問。

一些標準安全控制措施可以有效防御Metasploit攻擊，如安裝補丁、以最低權(quán)限運行應(yīng)用程序或進程、只給可信主機提供網(wǎng)絡(luò)訪問及SANS Top 20 Critical Security Controls(20個頂級SANS重要安全控件)或OWASP Top Ten(10大開放Web應(yīng)用安全項目)所包含的其他通用方法。除非Metasploit攻擊使用“編碼”方法來逃避入侵檢測系統(tǒng)的流量檢測，否則它在通過網(wǎng)絡(luò)時會被檢測出來。除此之外，監(jiān)控網(wǎng)絡(luò)異常現(xiàn)象，或者使用基于主機的檢測工具檢測本地系統(tǒng)上運行的Metasploit，都可以檢測Metasploit活動。

和任何工具一樣，Metasploit可用于保護企業(yè)網(wǎng)絡(luò)，也可用于破壞企業(yè)網(wǎng)絡(luò)。盡管Metasploit可以檢測漏洞和提供企業(yè)網(wǎng)絡(luò)所需要的一線防御，但是一定要注意，攻擊者可能利用相同的工具來發(fā)現(xiàn)相同的漏洞。

在企業(yè)安全工具中加入Metasploit有很多的好處，但是組織還需要利用其他工具和技術(shù)來防御來自Metasploit的攻擊行為。