Egy hosszú ideje hiányolt funkció jelent meg a Metasploit keretrendszer fejlesztői ágában. Valójában már a cím beírása közben is kellemes bizsergést éreztem, hiszen biztos vagyok benne, hogy a HTTP-n illetve HTTPS-en visszacsatlakozni képes Meterpreter payloadnak még sokszor fogjuk jó hasznát venni minden fajta szanaszét tűzfalazott/proxyzott vállalati környezetben. 

Az új fejlesztés mindent tud, ami elvárható: Az áldozat gépén lefutó kód automatikusan az érvényes proxybeállításokat és alapértelmezett autentikációs módot alkalmazva, akár titkosított HTTP csatornán csatlakozik vissza a DNS-en keresztül azonosított támadóhoz, hogy letöltse a Meterpreter DLL-jét, sikertelenség vagy szakadó kapcsolat esetén pedig megadott ideig újrapróbálkozik. 

A cucc állítólag Tor-on keresztül is működik, úgy is, ha a kommunikáció során változnak az exit node-ok. Én a kompatibilitás ellenőrzésére egy egyszerű Windows 7-es kapcsolatot sikerrel teszteltem, remélem lesz időm megnézni kicsit alaposabban a hálózati kommunikációt is. Az első HTTP stage mérete 348, a HTTPS-es változaté 368 byte.

A fejlesztés az alkotók szerint új alapokra helyezte a MSF payload-ok működését, erre alapozva a jövőben IRC-n, vagy akár Pastebin-en (!) is kommunikálhatunk az irányításunk alá vont gépekkel. Köszönjük srácok! :)

Lazán kapcsolódó téma, de az antivírusok kikerülésének problémájáról itt van egy jó összefoglaló.