19 jul 2014

Scraper: El recogelotodo de Meterpreter

El script scraper perteneciente al payload Meterpreter permite realizar una recogida de información con partes sensibles de la estructura de un sistema operativo Windows. Scraper se encarga de recolectar información básica del equipo como son los usuarios, la información que proporciona el comando systeminfo, enumerar los recursos compartidos de la máquina, volcado de usuarios y hashes de la máquina, conexiones activas y estadísticas de éstas, variables de entorno, grupos, servicios del sistema, etcétera. 

Este script es interesante de lanzar cuando una máquina es comprometida, ya que nos permite conocer una gran cantidad de datos desde un principio, sin necesidad de ir recopilándola poco a poco. Lo que realmente diferencia a scraper de otros scripts es la recogida y descarga de partes o árboles del registro. Por ejemplo, scraper realiza una exportación en la máquina vulnerada de HKCU, el árbol del registro de Current User, para después descargarlo automáticamente a la máquina del atacante.


Scraper es capaz de llevar el mismo proceso para HKLM, HKCC, HKCR y HKU. Los ficheros se obtienen con extensión .reg. Es realmente interesante, porque tras su posterior análisis, podemos llegar a conclusiones de lo que hay en la máquina y, a priori, no podemos ver. 

¿Dónde se almacenan los archivos que automáticamente genera scraper? La ruta por defecto es $HOME/.msf4/logs/scripts/scraper/<dirección IP>. En esta ruta se puede visualizar una serie de archivos con nombres identificativos de la información recogida por scraper. 

Se recomienda que utilicéis scraper al comprometer una máquina con la ejecución del payload Meterpreter. 


No hay comentarios:

Publicar un comentario