Meterpreter

¿Qué es?

Meterpreter es una herramienta legítima de hacking ofensivo (HackTool), que funciona como agente o payload de post-explotación (integrado en Metasploit) para faciliar el acceso remoto a los sistemas comprometidos y dar soporte a las operaciones posteriores a cualquier intrusión. No se trata de un malware en sí mismo, pero los ciberdelincuentes la utilizan para llevar a cabo actividades maliciosas, mediante un canal de comunicación con servidores de mando y control (C2), por lo que, en detección y respuesta a incidentes se suele tratar como malware que actúa, funcionalmente, como un troyano de acceso remoto (RAT) fileless y backdoor.

¿Qué hace?

Esta herramienta (agente/payload) tiene capacidad para realizar las siguientes acciones:

• Permite el control remoto, mediante shells invisibles y canales de comunicación con el atacante, y la ejecución de comandos y binarios.
• Permite la transferencia de ficheros (subir/descargar) y las operaciones sobre los sistemas de archivos.
• Registra pulsaciones de teclado (keylogging) para capturar credenciales y demás información sensible.
• Captura las imágenes de pantalla para robar información sensible.
• Utiliza técnicas de Port forwarding, de pivoting y de apoyo a movimiento lateral desde los equipos comprometidos.
• Permite la escalada de privilegios y la carga de módulos en memoria con integración con Mimikatz para extraer las credenciales almacenadas en los sistemas comprometidos.
• Permite la evasión, el sigilo y la reducción de la huella forense, dado que puede residir en memoria, sin escribir a disco y sin crear nuevos procesos (inyecta/migra procesos).
• Permite el borrado de evidencias, como los registros logs.
• Establece persistencia mediante la instalación de mecanismos de arranque automático y de configuración del Registro para mantener el acceso tras los reinicios.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.
• Dispositivos con sistemas Linux.
• Dispositivos con sistemas macOS.
• Dispositivos con sistemas Android.

¿Cómo me infecta?

Los atacantes acceden a los dispositivos con esta herramienta a través de campañas de phishing con archivos adjuntos maliciosos, a través de descargas de sitios web comprometidos, a través de falsos programas disfrazados de software o APK legítimos y a través de otros troyanos que actúan como droppers o loaders y descargan el agente.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos, accede a los cleaners para macOS y accede a los cleaners para Android.

Más información

• Manage Meterpreter and Shell SessionsCopy link (Rapid7)
• Meterpreter Overview (Metasploit)
• About the Metasploit Meterpreter (OffSec)
• Metasploit Meterpreter: The Advanced and Powerful Payload (SentinelOne)
• Microsoft Word File Spreads Malware Targeting Both Apple Mac OS X and Microsoft Windows (Fortinet)
• Microsoft Word File Spreads Malware Targeting Both Mac OS X and Windows (Part II) (Fortinet)
• Análisis del Troyano Meterpreter (Mnemo)
• Meterpreter (Malpedia)