如何防御黑客利用Metasploit发起的攻击？

自动化安全工具已经成为信息安全领域中进步最大的方面之一。由于网络与软件及针对

它们的威胁都在变得越来越复杂，因此自动化已经成为不可或缺的一部分。

安全自动化并不是一个新概念。早在1995年出现的网络分析安全管理工具（Security 

Administrator Tool for Analyzing Networks, SATAN）就是一个自动化安全工具，从那时

起自动化不断地发展壮大，后面加入了二进制分析、恶意软件研究、沙箱、漏洞扫描、代码扫

描等等。

根据自动化漏洞评估的结果，Metasploit已经成为最流行的黑客工具，当然也是一种保护企业

网络的重要工具。可是，由于Metasploit非常擅长发现和查找组织的弱点，因此大多数攻击者

都知道使用它可以轻松发现和查找到一个可攻击的系统。

本文将介绍Metasploit的工作方式，为什么企业愿意使用它，以及如何采取一些控制措施，防

止黑客使用Metasploit窃取组织内部信息。

Metasploit的工作方式

开源软件Metasploit是H.D. Moore在2003年开发的，它是少数几个可用于执行诸多渗透测试

步骤的工具。在发现新漏洞时（这是很常见的），Metasploit会监控Rapid7，然后

Metasploit的200,000多个用户会将漏洞添加到Metasploit的目录上。然后，任何人只要使用

Metasploit，就可以用它来测试特定系统的是否有这个漏洞。

Metasploit框架使Metasploit具有良好的可扩展性，它的控制接口负责发现漏洞、攻击漏洞

，提交漏洞，然后通过一些接口加入攻击后处理工具和报表工具。Metasploit框架可以从一个

漏洞扫描程序导入数据，使用关于有漏洞主机的详细信息来发现可攻击漏洞，然后使用有效载

荷对系统发起攻击。所有这些操作都可以通过Metasploit的Web界面进行管理，而它只是其中

一种种管理接口，另外还有命令行工具和一些商业工具等等。

攻击者可以将来漏洞扫描程序的结果导入到Metasploit框架的开源安全工具Armitage中，然

后通过Metasploit的模块来确定漏洞。一旦发现了漏洞，攻击者就可以采取一种可行方法攻击

系统，通过Shell或启动Metasploit的meterpreter来控制这个系统。

这些有效载荷就是在获得本地系统访问之后执行的一系列命令。这个过程需要参考一些文档并

使用一些数据库技术，在发现漏洞之后开发一种可行的攻击方法。其中有效载荷数据库包含用

于提取本地系统密码、安装其他软件或控制硬件等的模块，这些功能很像以前BO2K等工具所具

备的功能。

使用Metasploit保护企业安全

使用Metasploit作为一个通用的漏洞管理程序，可以确认某一个漏洞已经通过安装补丁、配置

变更或实现补偿控制等措施得到关闭。例如，如果还没有补丁可以安装，但是禁用某一个系统

特性可以防止网络攻击，那么就可以使用Metasploit来验证提议的策略（禁用系统特性）是符

合预期的。此外，Metasploit还能验证安全监控工具能够检测到攻击行为。

Metasploit的另一个优点是它可以向人们展示如何轻松地攻击和完全控制一个系统，从而证明

一个漏洞的严重性。例如，它可能发现一个目标系统存在可远程攻击的漏洞，然后在

Metasploit中配置的一个有效载荷会通过远程Shell连接目标系统，这样攻击者就可以盗取数

据或安装键盘记录程序。使用Metasploit执行渗透测试，自动完成许多的人工检查，这样可以

方便渗透测试人员绕过一些特定的区域，而将注意力放在需要深入分析的区域。

在企业环境中，Metasploit的最常见用途是对补丁或漏洞管理决策进行优先级划分。一旦

Metasploit针对一个漏洞发布一个模块，企业就可以提高这些补丁的优先级，特别是考虑到现

代脚本黑客可能使用它来轻松攻破系统。此外，企业应该将现有Metasploit模块已经发现的漏

洞添加到需要打补丁或修复的漏洞列表上。

对抗Metasploit的攻击

和其他信息安全工具一样，Metasploit既可能用于做好事，也可能用于干坏事。黑帽及其他恶

意黑客可能利用Metasploit攻击企业，从而发现漏洞，利用漏洞获得网络、应用与数据的非授

权访问。

一些标准安全控制措施可以有效防御Metasploit攻击，如安装补丁、以最低权限运行应用程序

或进程、只给可信主机提供网络访问及SANS Top 20 Critical Security Controls（20个顶

级SANS重要安全控件）或OWASP Top Ten（10大开放Web应用安全项目）所包含的其他通用方

法。除非Metasploit攻击使用“编码”方法来逃避入侵检测系统的流量检测，否则它在通过网

络时会被检测出来。除此之外，监控网络异常现象，或者使用基于主机的检测工具检测本地系

统上运行的Metasploit，都可以检测Metasploit活动。

和任何工具一样，Metasploit可用于保护企业网络，也可用于破坏企业网络。尽管

Metasploit可以检测漏洞和提供企业网络所需要的一线防御，但是一定要注意，攻击者可能利