Detecção do Metasploit

Tipo de regra:

Correlação

Descrição da regra:

O Metasploit é uma estrutura de testes de invasão de código aberto, amplamente utilizada por especialistas em cibersegurança e também por agentes mal-intencionados, para identificar vulnerabilidades em redes-alvo e explorá-las para os mais diversos fins. Mantido pela Rapid7, o Metasploit fornece ferramentas e exploits para a execução de testes de penetração e avaliações de segurança.

Impacto:

Pode ser usado por invasores das seguintes formas:

• Escalonamento de privilégios em sistemas comprometidos
• Força bruta
• Movimento lateral
• Exfiltração de dados

Fonte dos dados:

Windows:

Configuração necessária: A regra baseia-se na criação e encerramento de processos. Os pré-requisitos incluem a instalação e configuração do Sysmon, habilitar a política de auditoria de criação de processos e a auditoria de linha de comando.

Técnicas e táticas MITRE ATT&CK relevantes:

Software

Critérios:

((Command line contains msfvenom) OU (Command line contains msfconsole) OU (Command line contains msfd) OU (Command line contains msfelfscan) OU (Command line contains msfrpc))

'msfvenom'- usado por invasores para gerar cargas úteis (payloads) maliciosas.

'msfconsole'- interface do Metasploit utilizada para executar exploits.

'msfd'- fornece acesso ao msfconsole, permitindo que invasores executem comandos maliciosos no sistema-alvo.

'msfelfscan'- usado para escanear arquivos executáveis vulneráveis em sistemas da vítima.

'msfrpc'- interface de chamada de procedimento remoto (RPC) do Metasploit, que permite a comunicação entre serviços e ferramentas dentro do próprio Metasploit.

Quando habilitar esta regra:

Habilitar esta regra ajuda a cumprir os seguintes requisitos de segurança:

Padrões de segurança (NIST CSF 2.0):

PR.PS-05: A instalação e execução de softwares não autorizados são prevenidas

Quando essa regra é acionada, você é notificado sobre o uso das ferramentas da Rapid7 dentro da rede para a realização de testes de penetração e avaliações de segurança. Isso permite que você tome medidas imediatas, executando workflows automatizados para interromper o processo malicioso e aplicar controles de acesso mais rigorosos.

DE.CM-09: O hardware e o software de computação, os ambientes de execução e seus dados são monitorados continuamente para identificar eventos potencialmente adversos

Quando essa regra é acionada, você é notificado sobre o uso do framework Metasploit dentro da rede. Isso permite que você tome medidas imediatas, executando workflows automatizados para interromper o processo malicioso e aplicar controles de acesso mais rigorosos.

Falsos positivos conhecidos: O Metasploit também é empregado por profissionais de cibersegurança e por hackers chapéu branco para avaliar a postura de segurança das organizações.

Próximos passos:

Quando esse alerta for acionado, as seguintes medidas podem ser implementadas:

• Identificação: Verificar se o alerta corresponde a um novo incidente ou está relacionado a um incidente em andamento.
• Análise: Avaliar o impacto e a extensão do comprometimento para determinar a gravidade do ataque.
• Resposta: Agir prontamente, iniciando um workflow automatizado para interromper o processo malicioso.
• Análise de tráfego de rede: Monitorar e analisar o tráfego para identificar assinaturas e padrões associados ao Metasploit, como tráfego anômalo em portas SMB.