I professionisti della sicurezza si trovano di fronte a un paradosso: lo stesso strumento che aiuta a convalidare le difese arma anche gli avversari. Metasploit si trova al centro di questa realtà a duplice uso, fungendo sia da piattaforma di penetration testing più completa del settore sia da framework documentato nelle campagne di gruppi di minaccia quali CopyKittens, Magic Hound e UNC3890. Comprendere Metasploit non è più facoltativo per i team di sicurezza. Che si tratti di convalidare vulnerabilità, individuare minacce o sviluppare capacità di rilevamento, questo framework determina il modo in cui si svolgono gli attacchi informatici e come devono rispondere i difensori.
Questa guida analizza l'architettura del Metasploit Framework, spiega il payload Meterpreter che lo rende così efficace e ne mappa le capacità rispetto al MITRE ATT&CKe fornisce strategie di rilevamento attuabili per i team SOC che difendono le reti moderne.
Metasploit è un framework open source per i test di penetrazione che fornisce ai professionisti della sicurezza gli strumenti necessari per identificare le vulnerabilità, sviluppare exploit e convalidare i controlli difensivi negli ambienti aziendali. Creato da H.D. Moore nel 2003 e acquisito da Rapid7 nel 2009, il framework è diventato la piattaforma più utilizzata al mondo per i test di sicurezza autorizzati, contenente oltre 2.300 exploit, 1.200 moduli ausiliari e 400 moduli post-exploit al 2025.
Il framework risponde a una domanda fondamentale in materia di sicurezza: un hacker può effettivamente sfruttare questa vulnerabilità? Gli scanner automatici di vulnerabilità identificano i potenziali punti deboli, ma Metasploit ne verifica l'exploitabilità tentando attacchi reali in ambienti controllati. Questa distinzione è importante perché non tutte le vulnerabilità presentano lo stesso rischio. Una CVE critica potrebbe essere inutilizzabile a causa di fattori ambientali, mentre un problema di gravità moderata potrebbe fornire un percorso diretto alla compromissione.
Secondo il resoconto annuale 2024 di Rapid7, nel 2024 il framework ha aggiunto 165 nuovi moduli, realizzati da 62 sviluppatori, tra cui 39 che hanno contribuito per la prima volta. Questo sviluppo guidato dalla comunità garantisce che il framework rimanga aggiornato con le vulnerabilità emergenti. Le recenti aggiunte includono moduli di exploit per React2Shell (CVE-2025-55182), catene di bypass dell'autenticazione FortiWeb e esecuzione di codice remoto Windows WSUS.
Tabella 1: Confronto tra le edizioni di Metasploit
La doppia natura di Metasploit crea sia opportunità che rischi. MITRE ATT&CK attori di minaccia ottenere Metasploit per campagne dannose con tecniche T1588.002 (Ottenere funzionalità: strumento). Tra i gruppi noti figurano CopyKittens (G0052), Magic Hound (G0059) e la campagna UNC3890 (C0010). Questo utilizzo documentato da parte degli avversari rende il rilevamento di Metasploit una priorità per ogni team SOC.
Diverse funzioni di sicurezza interagiscono con Metasploit in modi distinti:
I red team utilizzano il framework per convalidare i risultati dello scanner di vulnerabilità e dimostrare il rischio di exploit nel mondo reale. L'ampia libreria di moduli di Metasploit copre le vulnerabilità di sistemi operativi, applicazioni e dispositivi di rete, consentendo simulazioni di attacchi complete.
I team blu devono rilevare gli attacchi basati su Metasploit, indipendentemente dal fatto che provengano da test autorizzati o da avversari reali. La comprensione delle capacità del framework fornisce informazioni utili per lo sviluppo di regole di rilevamento e ipotesi di ricerca delle minacce.
I team viola coordinano le attività offensive e difensive, spesso utilizzando Metasploit per testare specifiche capacità di rilevamento. La natura modulare del framework consente di testare con precisione le singole tecniche di attacco.
Lo sviluppo professionale rende essenziale la conoscenza di Metasploit. Il framework è parte integrante dei programmi di studio per le certificazioni di settore, tra cui OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) e MPCS (Metasploit Pro Certified Specialist) di Rapid7.
Metasploit utilizza un'architettura modulare basata su Ruby con sette tipi di moduli distinti che consentono il ciclo di vita completo dell'attacco, dalla ricognizione al post-sfruttamento. L'interfaccia principale, msfconsole, fornisce un ambiente a riga di comando interattivo con completamento automatico, cronologia dei comandi e integrazione del database per la gestione delle sessioni e delle credenziali in contesti complessi.
Il framework segue un flusso di lavoro semplice: gli utenti cercano i moduli pertinenti, configurano i parametri di destinazione, selezionano i payload appropriati ed eseguono l'attacco. Dietro questa semplicità si nasconde un sofisticato coordinamento tra codice di exploit, meccanismi di consegna dei payload e gestione delle sessioni.
Tabella 2: Tipi e scopi dei moduli Metasploit
La selezione del payload determina cosa succede dopo lo sfruttamento riuscito. I singoli (payload in linea) sono autonomi e si eseguono in modo indipendente. Gli stager sono piccoli payload iniziali che scaricano stage più grandi come Meterpreter dal server dell'autore dell'attacco. I payload staged riducono al minimo l'impronta iniziale consentendo al contempo il dispiegamento completo delle funzionalità.
Il framework si integra con strumenti complementari durante tutto il flusso di lavoro di test. Integrazione nativa con Nmap tramite db_nmap importa i risultati della scansione direttamente nel database Metasploit. Il passaggio di sessione consente il coordinamento con Cobalt Strike interventi che richiedono diverse funzionalità C2. I dati sulle vulnerabilità provenienti da Nessus possono essere importati per lo sfruttamento mirato dei risultati della scansione.
I moduli di exploit contengono codice che sfrutta vulnerabilità specifiche per eseguire codice sui sistemi di destinazione. La libreria copre Windows, Linux, macOS, dispositivi di rete, applicazioni web e sistemi integrati. Ogni modulo include metadati che descrivono le piattaforme interessate, le condizioni richieste e i livelli di affidabilità.
I moduli ausiliari svolgono compiti di supporto che non forniscono direttamente payload. Questa categoria include scanner di porte, enumeratori di servizi, bruteforcer di credenziali e strumenti di fuzzing. I team di sicurezza utilizzano spesso moduli ausiliari per la ricognizione durante le valutazioni autorizzate.
I moduli post operano dopo la compromissione iniziale, consentendo l'enumerazione del sistema compromesso, la raccolta delle credenziali, il movimento laterale e la creazione di persistenza. Questi moduli presuppongono una sessione Meterpreter o shell esistente.
I moduli di evasione, introdotti nel 2018, generano payload progettati per aggirare le soluzioni antivirus ed EDR. Questi moduli applicano tecniche di offuscamento, crittografia e anti-analisi per eludere il rilevamento durante i test.
Metasploit Framework 6.4, rilasciato nel marzo 2024, ha introdotto significativi miglioramenti delle funzionalità:
Meterpreter è il payload avanzato in memoria di Metasploit progettato per eludere il rilevamento basato su disco, fornendo al contempo ampie funzionalità post-exploit. A differenza dei tradizionali reverse shell che generano prompt di comando visibili, Meterpreter opera interamente in memoria utilizzando l'iniezione DLL riflettente, lasciando tracce forensi minime sui sistemi compromessi.
L'architettura privilegia la furtività e la capacità:
Queste scelte progettuali rendono Meterpreter particolarmente difficile da individuare per gli strumenti di sicurezza tradizionali. Le soluzioni antivirus che si basano sulla scansione dei file non rilevano i payload residenti in memoria. Il monitoraggio di rete che non prevede l'ispezione TLS rileva solo il traffico crittografato. Ecco perché i moderni sistemi di rilevamento richiedono l'analisi comportamentale e l'analisi forense della memoria.
Le funzionalità principali comprendono l'accesso al sistema, la raccolta delle credenziali e le operazioni di rete:
Operazioni sul file system (caricare, scaricare, ls, cd, rm, modifica) forniscono accesso completo alla memoria del sistema compromesso, consentendo esfiltrazione dei dati e implementazione degli strumenti.
Gestione dei processi (ps, migrare, uccidere, eseguire) consente di visualizzare i processi in esecuzione, passare da uno all'altro e avviare nuovi programmi. Migrazione a processi stabili come explorer.exe migliora la persistenza.
Operazioni di rete (portfwd, percorso, arp, netstat) consentono di passare attraverso sistemi compromessi per raggiungere segmenti di rete altrimenti inaccessibili. Questa funzionalità supporta il movimento laterale in ambienti segmentati.
Accesso alle credenziali (hashdump, carico kiwi) estrae gli hash delle password dal database SAM e integra la funzionalità Mimikatz per il dumping delle credenziali. Queste funzionalità alimentano direttamente rilevamento delle minacce all'identità casi d'uso.
I meccanismi di persistenza stabiliscono metodi per riottenere l'accesso dopo il riavvio del sistema, tra cui modifiche al registro, attività pianificate e installazione di servizi.
Capacità di sorveglianza (avvio scansione tasti, keyscan_dump, screenshot, webcam_snap) catturano i tasti digitati, i contenuti dello schermo e le immagini della fotocamera dai sistemi compromessi.
Il framework fornisce implementazioni Meterpreter per diverse piattaforme e scenari:
A differenza di Cobalt Strike, che dispone di una voce dedicata MITRE ATT&CK (S0154) con una mappatura completa delle tecniche, Metasploit non ha una pagina equivalente nel framework. Metasploit è invece citato come esempio di "Strumento" nella tecnica. T1588.002 (Ottenere capacità: strumento), documentando come gli autori delle minacce acquisiscono il framework per scopi dannosi.
Questa distinzione è importante per i team di intelligence sulle minacce che mappano il comportamento degli avversari. Cobalt Strike possono fare riferimento diretto alle procedure ATT&CK, mentre gli attacchi basati su Metasploit richiedono la mappatura dei comportamenti dei singoli moduli alle tecniche pertinenti.
Nonostante l'assenza di una voce dedicata, i moduli Metasploit implementano tecniche in tutte e 14 le tattiche ATT&CK. I team di sicurezza che sviluppano una copertura di rilevamento dovrebbero mappare moduli specifici alle tecniche corrispondenti.
Tabella 3: Mappatura dei moduli Metasploit alle MITRE ATT&CK
Accesso iniziale (TA0001): gli oltre 2.300 moduli di exploit rappresentano il punto di forza principale del framework, fornendo copertura per le vulnerabilità su piattaforme e applicazioni. Tra le recenti aggiunte di alto profilo figurano React2Shell (CVE-2025-55182) e le catene di bypass dell'autenticazione FortiWeb.
Accesso alle credenziali (TA0006): Meterpreter hashdump Il comando estrae gli hash delle password locali, mentre l'estensione Kiwi fornisce la funzionalità Mimikatz per il dumping delle credenziali, l'estrazione dei ticket e gli attacchi pass-the-hash.
Movimento laterale (TA0008): i moduli Post consentono la diffusione attraverso le reti utilizzando PsExec, Windows Management Instrumentation (WMI) e lo sfruttamento SMB. Queste funzionalità rendono essenziale il rilevamento dei modelli di movimento laterale.
Command and Control TA0011): Meterpreter supporta diversi protocolli di trasporto, tra cui HTTP/HTTPS (il più comune), tunneling DNS (nascosto) e TCP/UDP grezzo. I listener possono essere configurati con certificati, intestazioni e URI personalizzati per mimetizzarsi con il traffico legittimo.
Il rilevamento di Metasploit richiede una visibilità stratificata sui modelli di traffico di rete, endpoint e sull'analisi forense della memoria. Il rilevamento basato sulle firme da solo non è sufficiente a causa della natura personalizzabile del framework. I team di sicurezza devono combinare gli indicatori di compromissione con l'analisi comportamentale per individuare sia le configurazioni predefinite che le varianti modificate.
Le piattaforme di rilevamento e risposta di rete sono in grado di identificare il traffico Meterpreter attraverso diverse caratteristiche:
Modelli di traffico TLS: le comunicazioni crittografate di Meterpreter creano modelli distintivi. Le dimensioni ridotte dei record TLS durante le sessioni interattive differiscono dal traffico delle applicazioni legittime. Gli intervalli di beaconing, anche con jitter applicato, creano regolarità rilevabili.
Anomalie dei certificati: i certificati SSL predefiniti di Metasploit presentano indicatori evidenti. Mentre gli operatori più esperti li sostituiscono, le implementazioni affrettate spesso mantengono i valori predefiniti. I registri di trasparenza dei certificati possono identificare i certificati sospetti.
Analisi dell'intestazione HTTP: il trasporto HTTP di Meterpreter utilizza stringhe User-Agent e modelli URI specifici per impostazione predefinita. È possibile modificarli tramite configurazioni personalizzate, ma le distribuzioni rapide potrebbero mantenere le impostazioni predefinite identificabili.
Indicatori di tunneling DNS: le sessioni DNS Meterpreter creano modelli di query insoliti, tra cui volumi elevati di query, query a domini sospetti e dati codificati nei record DNS.
Rilevamento dei segnali: le comunicazioni a intervalli regolari, tipiche dei check-in C2, possono essere rilevate attraverso l'analisi della frequenza di connessione. Anche in presenza di jitter, nel tempo emergono modelli statistici.
Le soluzioni Endpoint e rispostaEndpoint e il monitoraggio basato su host forniscono una visibilità complementare:
Relazioni tra processi: relazioni sospette tra processi padre e figlio indicano uno sfruttamento. I server Web che generano shell di comando, le applicazioni per ufficio che avviano PowerShell o i processi del browser che creano utilità di sistema suggeriscono una compromissione.
Accesso LSASS: la raccolta delle credenziali richiede l'accesso al processo LSASS. I log dell'evento Sysmon 10 (Accesso al processo) rivelano tentativi di accesso LSASS non autorizzati caratteristici del dumping delle credenziali di Meterpreter.
Indicatori PowerShell: comandi PowerShell codificati, voci di registrazione di blocchi di script che mostrano codice offuscato e trigger AMSI (Antimalware Scan Interface) indicano la potenziale esecuzione di payload Metasploit.
Modelli di memoria: l'iniezione DLL riflettente crea modelli di memoria rilevabili. Gli strumenti di sicurezza che eseguono la scansione della memoria sono in grado di identificare i componenti Meterpreter anche quando il rilevamento basato su disco fallisce.
La seguente regola YARA dalla base delle firme di Neo23x0 dimostra il rilevamento di Meterpreter basato sulla memoria:
rule Meterpreter_Reverse_TCP_Memory {
meta:
description = "Detects Meterpreter reverse TCP in memory"
author = "Florian Roth (Neo23x0)"
reference = "https://github.com/Neo23x0/signature-base"
license = "Detection Rule License 1.1"
strings:
$metsrv = "metsrv.dll" nocase
$reflective = "ReflectiveLoader"
$transport = "METERPRETER_TRANSPORT"
$reverse = "reverse_tcp"
condition:
any of them
}Una difesa efficace contro Metasploit richiede controlli su più livelli:
I team di sicurezza che valutano i framework C2 e sviluppano capacità di rilevamento devono comprendere le differenze tra Metasploit, Cobalt Strike e alternative emergenti come Sliver. Ogni framework è adatto a casi d'uso diversi e presenta sfide di rilevamento diverse.
Secondo l'analisi di Dark Reading, gli autori delle minacce stanno passando sempre più spesso da Metasploit e Cobalt Strike Sliver per operazioni avanzate. APT29 (Cozy Bear), Shathak (TA551) ed Exotic Lily hanno adottato Sliver, spinti dalle migliori capacità di evasione e dalla disponibilità open source del framework.
Tabella 4: Confronto tra i framework C2
Le statistiche di settore indicano che gli strumenti red team, tra cui Metasploit e Cobalt Strike quasi il 50% di tutti i malware rilevato nel 2024. Questa prevalenza rende essenziali le capacità di rilevamento di questi framework.
Metasploit eccelle nella convalida delle vulnerabilità e offre una copertura senza pari degli exploit con oltre 2.300 moduli. La sua libreria completa di moduli lo rende ideale per le valutazioni di sicurezza che richiedono test di vulnerabilità ad ampio raggio. Il framework rimane lo standard per la preparazione alla certificazione e le competenze di base nei test di penetrazione.
Cobalt Strike si concentra sulla simulazione degli avversari con funzionalità di sicurezza operativa più avanzate. I suoi profili C2 malleabili consentono al traffico di mimetizzarsi con le applicazioni legittime. I team rossi che conducono operazioni prolungate spesso preferiscono Cobalt Strike le attività post-sfruttamento.
Sliver offre comandi e controlli multipiattaforma con moderne tecniche di evasione. I suoi impianti basati su Go, l'integrazione cloud e lo sviluppo attivo lo rendono interessante per gli operatori che puntano agli ambienti cloud.
Il rilevamento tradizionale basato sulle firme fatica a contrastare la natura personalizzabile di Metasploit. Gli operatori possono modificare i payload, cambiare gli indicatori di rete e applicare la codifica per eludere le regole statiche. Una difesa moderna richiede un'analisi comportamentale che identifichi i modelli di attacco indipendentemente dalle implementazioni specifiche.
Le piattaforme di rilevamento e risposta di rete affrontano questa sfida analizzando i comportamenti del traffico piuttosto che confrontando le firme. Le sessioni Meterpreter creano modelli caratteristici: canali crittografati con payload di piccole dimensioni, intervalli di check-in regolari e tempistiche di comando-risposta. Questi comportamenti persistono anche quando gli indicatori a livello superficiale cambiano.
Il rilevamento basato sull'identità aggiunge un ulteriore livello critico. Le funzionalità di raccolta delle credenziali di Meterpreter consentono agli aggressori di muoversi negli ambienti utilizzando credenziali legittime. Il rilevamento di modelli di autenticazione anomali, spostamenti impossibili e tentativi di escalation dei privilegi consente di individuare attacchi che potrebbero eludere gli strumenti incentrati sulla rete.
Il rilevamento delle minacce basato sull'intelligenza artificiale mette in correlazione i segnali provenienti da più fonti di dati. Un avviso relativo all'esecuzione sospetta di PowerShell acquista rilevanza se combinato con un successivo accesso LSASS e tentativi di autenticazione laterale. Questa correlazione trasforma i singoli indicatori in narrazioni di attacchi altamente affidabili.
L'integrazione con le piattaforme SIEM e SOAR consente una risposta automatizzata in caso di rilevamenti altamente affidabili. L'isolamento degli endpoint compromessi, il blocco delle comunicazioni C2 e l'attivazione di flussi di lavoro di risposta agli incidenti riducono il tempo di permanenza degli aggressori.
Attack Signal Intelligence Vectra AI Attack Signal Intelligence sul rilevamento dei comportamenti abilitati da Metasploit, anziché affidarsi esclusivamente alle firme che gli aggressori possono eludere. Analizzando i metadati di rete e correlando i segnali di attacco lungo tutta la catena di attacco informatico, i team di sicurezza ottengono visibilità sugli attacchi basati su Metasploit anche quando i payload sono personalizzati o crittografati.
La piattaforma identifica modelli di movimento laterale, tentativi di furto di credenziali e comunicazioni di comando e controllo attraverso la modellazione comportamentale. Questo approccio rileva le sessioni Meterpreter indipendentemente dal protocollo di trasporto o dalla codifica, poiché i comportamenti di attacco sottostanti rimangono coerenti anche se le implementazioni cambiano.
Il panorama dei test di penetrazione e dei framework C2 continua a evolversi rapidamente, con cambiamenti significativi previsti nei prossimi 12-24 mesi. Le organizzazioni dovrebbero prepararsi a diversi sviluppi chiave che avranno un impatto sia sulle capacità di test offensivi che su quelle di rilevamento difensivo.
L'adozione di framework C2 alternativi subirà un'accelerazione. Il passaggio da Metasploit e Cobalt Strike Sliver, Havoc e Brute Ratel C4 proseguirà man mano che i difensori miglioreranno il rilevamento degli strumenti consolidati. I gruppi APT, tra cui APT29, hanno già compiuto questa transizione. I team di sicurezza devono ampliare la copertura di rilevamento oltre i framework tradizionali per far fronte a questa evoluzione.
Si assisterà alla nascita dello sviluppo di exploit assistito dall'intelligenza artificiale. I modelli linguistici di grandi dimensioni in grado di analizzare le divulgazioni delle vulnerabilità e generare codice di exploit ridurranno gli ostacoli allo sviluppo dei moduli. Questa tendenza potrebbe accelerare il lasso di tempo tra la divulgazione delle vulnerabilità e la loro trasformazione in armi, aumentando la pressione sui programmi di gestione delle vulnerabilità.
Le tecniche di attaccoCloud sono destinate a crescere. I nuovi tipi di sessione di Metasploit 6.4 per i protocolli di database riflettono la crescente attenzione rivolta cloud . È prevedibile un continuo sviluppo di moduli mirati cloud , alle API e agli ambienti container. Le strategie di rilevamento devono estendersi oltre i confini tradizionali della rete.
L'analisi forense della memoria diventerà uno standard. Con la diffusione delle tecniche in-memory come Meterpreter, l'analisi della memoria passerà dall'essere una risposta specializzata agli incidenti a diventare un monitoraggio di sicurezza di routine. Le soluzioni EDR con scansione continua della memoria diventeranno requisiti di base.
I quadri normativi possono riguardare gli strumenti a duplice uso. I controlli sulle esportazioni e le normative sulla divulgazione responsabile potrebbero influire sul modo in cui i quadri di penetration testing distribuiscono determinate funzionalità. Le organizzazioni dovrebbero monitorare gli sviluppi normativi che potrebbero avere un impatto sui programmi di test autorizzati.
Passaggi consigliati per la preparazione:
Metasploit è un framework open source per i test di penetrazione creato da H.D. Moore nel 2003 e ora gestito da Rapid7. La piattaforma contiene oltre 2.300 exploit, 1.200 moduli ausiliari e 400 moduli post-exploit, rendendola lo strumento più completo al mondo per i test di sicurezza autorizzati. I professionisti della sicurezza utilizzano Metasploit per convalidare i risultati dello scanner di vulnerabilità, dimostrare il rischio di exploit e testare i controlli difensivi. Il framework supporta l'intero ciclo di vita dell'attacco, dalla ricognizione al post-exploit, con aggiornamenti settimanali che aggiungono moduli per le vulnerabilità appena scoperte. Sia la versione gratuita Framework che la versione commerciale Pro (~15.000 dollari/anno) accedono alla stessa libreria di exploit, con Pro che aggiunge funzionalità di automazione del flusso di lavoro, reporting e collaborazione.
L'uso di Metasploit è legale per i test di sicurezza autorizzati con esplicito consenso scritto dei proprietari dei sistemi. L'uso non autorizzato su sistemi di cui non si è proprietari o per i quali non si dispone di un'autorizzazione documentata è illegale ai sensi delle leggi sulla frode informatica, tra cui il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti e le leggi equivalenti a livello internazionale. Le organizzazioni dovrebbero stabilire accordi formali di penetration testing che specifichino l'ambito, i tempi e le tecniche accettabili prima di iniziare qualsiasi test. Il framework stesso può essere scaricato e installato legalmente; la legalità dipende interamente da come e dove viene utilizzato. I professionisti della sicurezza che perseguono certificazioni come OSCP si esercitano su ambienti di laboratorio intenzionalmente vulnerabili progettati a questo scopo.
Metasploit Framework è la versione gratuita e open source accessibile principalmente tramite l'interfaccia a riga di comando msfconsole. Fornisce pieno accesso alla libreria di exploit, ma richiede operazioni manuali e automazione tramite script. Metasploit Pro, al prezzo di circa 15.000 dollari all'anno, aggiunge un'interfaccia grafica basata sul web, scansioni automatizzate delle vulnerabilità e flussi di lavoro di sfruttamento, report personalizzabili per gli stakeholder, collaborazione multiutente con accesso basato sui ruoli, campagne di social engineering integrate e supporto aziendale Rapid7. Entrambe le versioni accedono alla stessa libreria di exploit e moduli di base. Le organizzazioni con team dedicati ai test di penetrazione spesso giustificano il costo di Pro grazie al risparmio di tempo nella reportistica e alla possibilità di eseguire valutazioni coordinate su più tester.
Il rilevamento di Metasploit richiede una visibilità stratificata su rete, endpoint e identità. A livello di rete, monitorare i modelli di traffico TLS caratteristici di Meterpreter, gli intervalli di beaconing e gli indicatori di certificati predefiniti. Implementare funzionalità di rilevamento e risposta di rete che identifichino i comportamenti C2 anziché affidarsi alle firme. A livello endpoint, utilizzare le regole YARA per la scansione della memoria, Sysmon per il monitoraggio delle relazioni tra i processi e prestare attenzione agli accessi LSASS che indicano tentativi di raccolta delle credenziali. Abilitare la registrazione dei blocchi di script PowerShell per acquisire l'esecuzione dei comandi codificati. Il rilevamento comportamentale si rivela essenziale perché la natura personalizzabile di Metasploit vanifica le firme statiche. Concentrarsi su modelli di attacco come relazioni insolite tra processi padre-figlio, sequenze di autenticazione laterale e tentativi di escalation dei privilegi piuttosto che su indicatori specifici che gli operatori possono modificare.
Meterpreter è il payload avanzato in memoria di Metasploit che opera interamente nella RAM senza scrivere componenti primari su disco. Questo design aggira le tradizionali soluzioni antivirus che si basano sulla scansione del file system. Il payload utilizza l'iniezione DLL riflettente per caricarsi nella memoria di processo senza attivare le API standard del loader di Windows e crittografa tutte le comunicazioni di comando e controllo con AES. Le funzionalità principali includono l'accesso al file system, la gestione dei processi, il pivoting di rete, l'estrazione delle credenziali tramite hashdump e l'integrazione di Mimikatz, la creazione di persistenza e funzioni di sorveglianza come il keylogging e la cattura di screenshot. Meterpreter può migrare tra i processi, consentendo agli operatori di abbandonare il processo di sfruttamento iniziale per host più stabili. Il rilevamento richiede analisi forense della memoria, analisi comportamentale e monitoraggio delle attività post-sfruttamento abilitate da Meterpreter.
Metasploit e Cobalt Strike scopi diversi ed eccellono in scenari diversi. Metasploit offre una copertura senza pari con oltre 2.300 moduli per la convalida delle vulnerabilità e i test di accesso iniziale. La sua natura open source e la sua ampia documentazione lo rendono ideale per l'apprendimento e la preparazione alla certificazione. Cobalt Strike sulla simulazione degli avversari con caratteristiche di sicurezza operativa più forti, profili C2 malleabili per la fusione del traffico e funzionalità di server collaborativo per il team. Molti red team professionisti utilizzano entrambi: Metasploit per lo sfruttamento iniziale e la convalida delle vulnerabilità, poi Cobalt Strike operazioni post-sfruttamento estese. Gli autori delle minacce stanno passando sempre più spesso ad alternative come Sliver, poiché i difensori migliorano il rilevamento per entrambi i framework. La scelta giusta dipende dai requisiti specifici dell'impegno, dai vincoli di budget e dal fatto che la priorità sia la copertura degli exploit o la furtività operativa.
A differenza di Cobalt Strike S0154), Metasploit non dispone di una voce dedicata MITRE ATT&CK con una mappatura completa delle tecniche. Il framework è invece citato in T1588.002 (Ottenere capacità: strumento) come esempio di strumenti che gli autori delle minacce acquisiscono e implementano. Questa tecnica documenta gruppi quali CopyKittens (G0052), Magic Hound (G0059) e la campagna C0010 (UNC3890) che ottengono Metasploit per operazioni dannose. Nonostante la mancanza di una voce dedicata, i moduli Metasploit implementano tecniche in tutte le 14 tattiche ATT&CK, dall'accesso iniziale all'impatto. I team di sicurezza che mappano i rilevamenti su ATT&CK dovrebbero identificare i comportamenti specifici dei moduli e mapparli alle tecniche corrispondenti, piuttosto che fare riferimento a una voce Metasploit centralizzata.
Diverse certificazioni di settore includono Metasploit come programma di studi principale. L'OSCP (Offensive Security Certified Professional) di OffSec copre ampiamente l'utilizzo di Metasploit durante i test di penetrazione, con il corso gratuito Metasploit Unleashed che funge da formazione di base. Il CEH (Certified Ethical Hacker) dell'EC-Council include i moduli Metasploit nelle sue componenti di esame pratico. Rapid7 offre la certificazione MPCS (Metasploit Pro Certified Specialist) specifica per la propria piattaforma commerciale. SANS SEC580 (Metasploit Kung Fu for Enterprise Penetration Testing) fornisce una formazione avanzata per i team di sicurezza aziendali. Queste certificazioni convalidano le competenze pratiche di Metasploit che i datori di lavoro richiedono sempre più spesso per i test di penetrazione e le posizioni nel red team.
I payload predefiniti di Metasploit vengono rilevati dalla maggior parte delle moderne soluzioni antivirus perché le loro firme sono state catalogate per anni. Tuttavia, il framework fornisce diverse tecniche di evasione. I moduli Encoder offuscano i payload per evitare la corrispondenza delle firme. I moduli Evasion, introdotti nel 2018, generano payload progettati specificamente per aggirare il rilevamento AV/EDR. La generazione di payload personalizzati tramite msfvenom può creare binari unici che eludono il rilevamento basato sulle firme. Cosa ancora più importante, l'iniezione DLL riflettente di Meterpreter opera interamente in memoria, aggirando le soluzioni antivirus che scansionano solo i file su disco. Un rilevamento efficace richiede il monitoraggio del comportamento, la scansione della memoria e l'analisi delle attività post-sfruttamento, piuttosto che affidarsi esclusivamente alle firme basate sui file. Questo è il motivo per cui le moderne piattaforme endpoint e risposta endpoint si concentrano sugli indicatori comportamentali piuttosto che sulle firme statiche.
Diversi framework offrono alternative o integrazioni a Metasploit a seconda dei requisiti di test specifici. Cobalt Strike ~5.900 $/anno) offre una simulazione avanzata degli avversari con funzionalità di sicurezza operativa più potenti. Sliver è un framework C2 open source basato su Go che sta guadagnando popolarità per le operazioni multipiattaforma e gli ambienti cloud. Havoc offre funzionalità C2 moderne con estensibilità e sviluppo della community. Brute Ratel C4 (~2.500 $/anno) si concentra specificamente sull'evasione EDR per operazioni avanzate del red team. Mythic offre un framework C2 modulare e multipiattaforma con interfaccia web. Empire fornisce post-exploit basati su PowerShell specifici per ambienti Windows. Core Impact e Immunity Canvas offrono alternative commerciali con diversi modelli di licenza. La maggior parte dei team di sicurezza professionali utilizza più strumenti: Metasploit per un'ampia convalida delle vulnerabilità, con framework specializzati per requisiti di coinvolgimento specifici.