Les professionnels de la sécurité sont confrontés à un paradoxe : le même outil qui aide à valider les défenses arme également les adversaires. Metasploit se trouve au cœur de cette réalité à double usage, servant à la fois de plateforme de test d'intrusion la plus complète du secteur et de cadre documenté dans les campagnes menées par des groupes de menaces tels que CopyKittens, Magic Hound et UNC3890. Comprendre Metasploit n'est plus une option pour les équipes de sécurité. Que vous validiez des vulnérabilités, recherchiez des menaces ou développiez des capacités de détection, ce cadre façonne la manière dont les cyberattaques se déroulent et dont les défenseurs doivent réagir.
Ce guide présente l'architecture du Metasploit Framework, explique la charge utile Meterpreter qui le rend si efficace et met en correspondance ses capacités avec MITRE ATT&CKet fournit des stratégies de détection exploitables pour les équipes SOC chargées de défendre les réseaux modernes.
Metasploit est un framework open source de tests d'intrusion qui fournit aux professionnels de la sécurité les outils nécessaires pour identifier les vulnérabilités, développer des exploits et valider les contrôles défensifs dans les environnements d'entreprise. Créé par H.D. Moore en 2003 et racheté par Rapid7 en 2009, ce framework est devenu la plateforme la plus utilisée au monde pour les tests de sécurité autorisés. En 2025, il contenait plus de 2 300 exploits, 1 200 modules auxiliaires et 400 modules post-exploitation.
Ce cadre répond à une question fondamentale en matière de sécurité : un pirate peut-il réellement exploiter cette vulnérabilité ? Les scanners de vulnérabilité automatisés identifient les faiblesses potentielles, mais Metasploit valide leur exploitabilité en tentant de véritables attaques dans des environnements contrôlés. Cette distinction est importante, car toutes les vulnérabilités ne présentent pas le même risque. Une vulnérabilité CVE critique peut être inexploitable en raison de facteurs environnementaux, tandis qu'un problème de gravité modérée peut ouvrir la voie à une compromission directe.
Selon le bilan annuel 2024 de Rapid7, le framework a ajouté 165 nouveaux modules en 2024, fournis par 62 développeurs, dont 39 contributeurs novices. Ce développement communautaire garantit que le framework reste à jour face aux vulnérabilités émergentes. Les ajouts récents comprennent des modules d'exploitation pour React2Shell (CVE-2025-55182), les chaînes de contournement d'authentification FortiWeb et l'exécution de code à distance Windows WSUS.
Tableau 1 : Comparaison des éditions Metasploit
La double utilisation de Metasploit crée à la fois des opportunités et des risques. MITRE ATT&CK cybercriminels Obtenir Metasploit pour mener des campagnes malveillantes à l'aide de techniques T1588.002 (Capacités obtenues : outil). Parmi les groupes connus, on peut citer CopyKittens (G0052), Magic Hound (G0059) et la campagne UNC3890 (C0010). L'utilisation avérée de cet outil par des adversaires fait de la détection de Metasploit une priorité pour toutes les équipes SOC.
Différentes fonctions de sécurité interagissent avec Metasploit de différentes manières :
Les équipes rouges utilisent ce cadre pour valider les résultats des scanners de vulnérabilité et démontrer les risques d'exploitation réels. La vaste bibliothèque de modules de Metasploit couvre les vulnérabilités des systèmes d'exploitation, des applications et des périphériques réseau, permettant ainsi des simulations d'attaques complètes.
Les équipes bleues doivent détecter les attaques basées sur Metasploit, qu'elles proviennent de tests autorisés ou d'adversaires réels. La compréhension des capacités du cadre permet d'élaborer des règles de détection et des hypothèses de recherche de menaces.
Les équipes Purple coordonnent les activités offensives et défensives, utilisant souvent Metasploit pour tester des capacités de détection spécifiques. La nature modulaire du cadre permet de tester avec précision les techniques d'attaque individuelles.
Le développement de carrière rend les connaissances Metasploit indispensables. Ce framework fait partie intégrante des programmes de formation des certifications professionnelles telles que OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) et MPCS (Metasploit Pro Certified Specialist) de Rapid7.
Metasploit utilise une architecture modulaire basée sur Ruby avec sept types de modules distincts qui permettent le cycle de vie complet d'une attaque, de la reconnaissance à la post-exploitation. L'interface principale, msfconsole, fournit un environnement de ligne de commande interactif avec complétion par tabulation, historique des commandes et intégration de base de données pour gérer les sessions et les identifiants dans le cadre d'engagements complexes.
Le cadre suit un processus simple : les utilisateurs recherchent les modules pertinents, configurent les paramètres cibles, sélectionnent les charges utiles appropriées et exécutent l'attaque. Derrière cette simplicité se cache une coordination sophistiquée entre le code d'exploitation, les mécanismes de livraison des charges utiles et la gestion des sessions.
Tableau 2 : Types et objectifs des modules Metasploit
La sélection de la charge utile détermine ce qui se passe après une exploitation réussie. Les charges utiles simples (charges utiles en ligne) sont autonomes et s'exécutent indépendamment. Les charges utiles intermédiaires sont de petites charges utiles initiales qui téléchargent des étapes plus importantes, telles que Meterpreter, à partir du serveur de l'attaquant. Les charges utiles intermédiaires minimisent l'empreinte initiale tout en permettant un déploiement complet des capacités.
Le cadre s'intègre à des outils complémentaires tout au long du processus de test. Intégration native de Nmap via db_nmap importe les résultats des analyses directement dans la base de données Metasploit. Le transfert de session permet la coordination avec Cobalt Strike les missions nécessitant différentes capacités C2. Les données de vulnérabilité provenant de Nessus peuvent être importées pour une exploitation ciblée des résultats des analyses.
Les modules d'exploitation contiennent du code qui tire parti de vulnérabilités spécifiques pour exécuter du code sur les systèmes cibles. La bibliothèque couvre Windows, Linux, macOS, les périphériques réseau, les applications Web et les systèmes embarqués. Chaque module comprend des métadonnées décrivant les plateformes concernées, les conditions requises et les notes de fiabilité.
Les modules auxiliaires effectuent des tâches de soutien qui ne fournissent pas directement de charges utiles. Cette catégorie comprend les scanners de ports, les énumérateurs de services, les outils de force brute pour les identifiants et les outils de fuzzing. Les équipes de sécurité utilisent fréquemment des modules auxiliaires pour la reconnaissance lors d'évaluations autorisées.
Les modules Post fonctionnent après la compromission initiale, permettant l'énumération du système compromis, la collecte d'identifiants, le déplacement latéral et l'établissement de la persistance. Ces modules supposent l'existence d'une session Meterpreter ou shell.
Les modules d'évasion, introduits en 2018, génèrent des charges utiles conçues pour contourner les solutions antivirus et EDR. Ces modules utilisent des techniques d'obfuscation, de chiffrement et d'anti-analyse pour échapper à la détection lors des tests.
Metasploit Framework 6.4, sorti en mars 2024, a apporté des améliorations significatives en termes de capacités :
Meterpreter est la charge utile avancée en mémoire de Metasploit, conçue pour échapper à la détection sur disque tout en offrant des capacités post-exploitation étendues. Contrairement aux shells inversés traditionnels qui génèrent des invites de commande visibles, Meterpreter fonctionne entièrement en mémoire à l'aide d'une injection DLL réfléchissante, ne laissant que très peu d'artefacts forensiques sur les systèmes compromis.
L'architecture privilégie la discrétion et la capacité :
Ces choix de conception rendent Meterpreter particulièrement difficile à détecter pour les outils de sécurité traditionnels. Les solutions antivirus qui s'appuient sur l'analyse des fichiers ne détectent pas les charges utiles résidant en mémoire. La surveillance réseau qui ne dispose pas d'inspection TLS ne voit que le trafic crypté. C'est pourquoi la détection moderne nécessite une analyse comportementale et une analyse forensique de la mémoire.
Les fonctionnalités principales couvrent l'accès au système, la collecte d'identifiants et les opérations réseau :
Opérations sur le système de fichiers (télécharger, téléchargement, ls, cd, rm, modifier) fournissent un accès complet au stockage du système compromis, permettant ainsi exfiltration de données et déploiement d'outils.
Gestion des processus (ps, migrer, tuer, exécuter) permet de visualiser les processus en cours d'exécution, de passer de l'un à l'autre et de lancer de nouveaux programmes. La migration vers des processus stables tels que explorer.exe améliore la persistance.
Opérations réseau (portfwd, itinéraire, arp, netstat) permettent de pivoter à travers des systèmes compromis pour atteindre des segments de réseau autrement inaccessibles. Cette capacité prend en charge les mouvements latéraux dans des environnements segmentés.
Accès aux informations d'identification (vidage de hachage, charger kiwi) extrait les hachages de mots de passe de la base de données SAM et intègre la fonctionnalité Mimikatz pour le vidage des identifiants. Ces capacités alimentent directement détection des menaces d'identité cas d'utilisation.
Les mécanismes de persistance établissent des méthodes permettant de retrouver l'accès après le redémarrage du système, notamment les modifications du registre, les tâches planifiées et l'installation de services.
Capacités de surveillance (keyscan_start, keyscan_dump, capture d'écran, webcam_snap) capturent les frappes au clavier, le contenu de l'écran et les images de la caméra des systèmes compromis.
Le cadre fournit des implémentations Meterpreter pour différentes plateformes et différents scénarios :
Contrairement à Cobalt Strike, qui dispose d'une entrée MITRE ATT&CK dédiée (S0154) avec une cartographie complète des techniques, Metasploit ne dispose pas d'une page équivalente dans le cadre. Metasploit est plutôt référencé comme un exemple d'« outil » dans la technique. T1588.002 (Obtenir des capacités : outil), qui documente la manière dont cybercriminels le cadre nécessaire à leurs activités malveillantes.
Cette distinction est importante pour les équipes chargées du renseignement sur les menaces qui cartographient le comportement des adversaires. Cobalt Strike peuvent directement faire référence aux procédures ATT&CK, tandis que les attaques basées sur Metasploit nécessitent de cartographier les comportements individuels des modules par rapport aux techniques pertinentes.
Malgré l'absence d'une entrée dédiée, les modules Metasploit mettent en œuvre des techniques dans les 14 tactiques ATT&CK. Les équipes de sécurité qui développent une couverture de détection doivent associer des modules spécifiques aux techniques correspondantes.
Tableau 3 : Correspondance entre les modules Metasploit et MITRE ATT&CK
Accès initial (TA0001) : les plus de 2 300 modules d'exploitation constituent le principal atout du framework, couvrant les vulnérabilités sur toutes les plateformes et applications. Parmi les ajouts récents les plus notables, citons React2Shell (CVE-2025-55182) et les chaînes de contournement d'authentification FortiWeb.
Accès aux informations d'identification (TA0006) : Meterpreter vidage de hachage La commande extrait les hachages de mots de passe locaux, tandis que l'extension Kiwi fournit les fonctionnalités Mimikatz pour le vidage des identifiants, l'extraction de tickets et les attaques « pass-the-hash ».
Mouvement latéral (TA0008) : les modules Post permettent la propagation à travers les réseaux à l'aide de PsExec, Windows Management Instrumentation (WMI) et l'exploitation SMB. Ces capacités rendent essentielle la détection des modèles de mouvement latéral.
Command and Control TA0011) : Meterpreter prend en charge plusieurs protocoles de transport, notamment HTTP/HTTPS (le plus courant), le tunneling DNS (caché) et TCP/UDP brut. Les écouteurs peuvent être configurés avec des certificats, des en-têtes et des URI personnalisés afin de se fondre dans le trafic légitime.
La détection de Metasploit nécessite une visibilité multicouche sur les modèles de trafic réseau, endpoint et l'analyse mémoire. La détection basée sur les signatures seule échoue face à la nature personnalisable du framework. Les équipes de sécurité doivent combiner les indicateurs de compromission avec l'analyse comportementale pour détecter à la fois les configurations par défaut et les variantes modifiées.
détection et réponse aux incidents Les plateformes peuvent identifier le trafic Meterpreter grâce à plusieurs caractéristiques :
Modèles de trafic TLS : les communications cryptées de Meterpreter créent des modèles distinctifs. Les petites tailles d'enregistrement TLS pendant les sessions interactives diffèrent du trafic d'application légitime. Les intervalles de balisage, même avec une gigue appliquée, créent des régularités détectables.
Anomalies des certificats : les certificats SSL Metasploit par défaut présentent des indicateurs évidents. Si les opérateurs expérimentés les remplacent, les déploiements précipités conservent souvent les valeurs par défaut. Les journaux de transparence des certificats permettent d'identifier les certificats suspects.
Analyse des en-têtes HTTP : le transport HTTP de Meterpreter utilise par défaut des chaînes User-Agent et des modèles URI spécifiques. Des configurations personnalisées peuvent les modifier, mais les déploiements rapides peuvent conserver les valeurs par défaut identifiables.
Indicateurs de tunneling DNS : les sessions DNS Meterpreter créent des modèles de requêtes inhabituels, notamment des volumes de requêtes élevés, des requêtes vers des domaines suspects et des données encodées dans des enregistrements DNS.
Détection des balises : les communications à intervalles réguliers, caractéristiques des vérifications C2, peuvent être détectées grâce à l'analyse de la fréquence des connexions. Même en cas de gigue, des modèles statistiques apparaissent au fil du temps.
Les solutions Endpoint et de réponseEndpoint et la surveillance basée sur l'hôte offrent une visibilité complémentaire :
Relations entre processus : des relations suspectes entre processus parent et enfant indiquent une exploitation. Les serveurs Web générant des shells de commande, les applications bureautiques lançant PowerShell ou les processus de navigateur créant des utilitaires système suggèrent une compromission.
Accès LSASS : la collecte d'informations d'identification nécessite d'accéder au processus LSASS. Les journaux d'événements Sysmon 10 (accès au processus) révèlent des tentatives d'accès LSASS non autorisées caractéristiques du vidage des informations d'identification par Meterpreter.
Indicateurs PowerShell : les commandes PowerShell encodées, les entrées de journalisation de blocs de script affichant du code obscurci et les déclencheurs AMSI (Antimalware Scan Interface) indiquent une exécution potentielle de la charge utile Metasploit.
Modèles de mémoire : l'injection DLL réfléchissante crée des modèles de mémoire détectables. Les outils de sécurité effectuant un scan de la mémoire peuvent identifier les composants Meterpreter même lorsque la détection sur disque échoue.
La règle YARA suivante, issue de la base de signatures Neo23x0, illustre la détection de Meterpreter basée sur la mémoire :
rule Meterpreter_Reverse_TCP_Memory {
meta:
description = "Detects Meterpreter reverse TCP in memory"
author = "Florian Roth (Neo23x0)"
reference = "https://github.com/Neo23x0/signature-base"
license = "Detection Rule License 1.1"
strings:
$metsrv = "metsrv.dll" nocase
$reflective = "ReflectiveLoader"
$transport = "METERPRETER_TRANSPORT"
$reverse = "reverse_tcp"
condition:
any of them
}Une défense efficace contre Metasploit nécessite des contrôles à plusieurs niveaux :
Les équipes de sécurité qui évaluent les frameworks C2 et développent des capacités de détection doivent comprendre les différences entre Metasploit, Cobalt Strike et les alternatives émergentes telles que Sliver. Chaque framework répond à des cas d'utilisation différents et présente des défis différents en matière de détection.
Selon l'analyse de Dark Reading, cybercriminels de plus en plus Metasploit et Cobalt Strike Sliver pour leurs opérations avancées. APT29 (Cozy Bear), Shathak (TA551) et Exotic Lily ont adopté Sliver, attirés par ses capacités d'évasion améliorées et la disponibilité open source du framework.
Tableau 4 : Comparaison des cadres C2
Les statistiques du secteur indiquent que les outils de type « red team », notamment Metasploit et Cobalt Strike près de 50 % de tous les malware détectées en 2024. Cette prévalence rend essentielles les capacités de détection de ces frameworks.
Metasploit excelle dans la validation des vulnérabilités et offre une couverture inégalée des exploits avec plus de 2 300 modules. Sa bibliothèque complète de modules le rend idéal pour les évaluations de sécurité nécessitant des tests de vulnérabilité à grande échelle. Ce framework reste la référence en matière de préparation à la certification et de compétences fondamentales en tests d'intrusion.
Cobalt Strike se concentre sur la simulation d'adversaires avec des fonctionnalités de sécurité opérationnelle renforcées. Ses profils C2 malléables permettent au trafic de se fondre dans les applications légitimes. Les équipes rouges menant des missions prolongées préfèrent souvent Cobalt Strike les activités post-exploitation.
Sliver offre des commandes et un contrôle multiplateformes grâce à des techniques d'évasion modernes. Ses implants basés sur Go, son intégration cloud et son développement actif le rendent attrayant pour les opérateurs qui ciblent les environnements cloud.
La détection traditionnelle basée sur les signatures peine à lutter contre la nature personnalisable de Metasploit. Les opérateurs peuvent modifier les charges utiles, changer les indicateurs réseau et appliquer un encodage pour contourner les règles statiques. Une défense moderne nécessite une analyse comportementale qui identifie les modèles d'attaque indépendamment des implémentations spécifiques.
détection et réponse aux incidents relèvent ce défi en analysant les comportements du trafic plutôt qu'en comparant les signatures. Les sessions Meterpreter créent des modèles caractéristiques : canaux cryptés avec des charges utiles de petite taille, intervalles de vérification réguliers et timing des commandes-réponses. Ces comportements persistent même lorsque les indicateurs de surface changent.
La détection basée sur l'identité ajoute un autre niveau critique. Les capacités de collecte d'informations d'identification de Meterpreter permettent aux attaquants de se déplacer dans les environnements à l'aide d'informations d'identification légitimes. La détection des modèles d'authentification anormaux, des déplacements impossibles et des tentatives d'escalade de privilèges permet de détecter les attaques qui pourraient échapper aux outils axés sur le réseau.
La détection des menaces basée sur l'IA met en corrélation les signaux provenant de plusieurs sources de données. Une alerte concernant l'exécution suspecte de PowerShell prend tout son sens lorsqu'elle est associée à un accès LSASS ultérieur et à des tentatives d'authentification latérale. Cette corrélation transforme les indicateurs individuels en scénarios d'attaque hautement fiables.
L'intégration avec les plateformes SIEM et SOAR permet une réponse automatisée lorsque des détections hautement fiables se produisent. L'isolation des terminaux compromis, le blocage des communications C2 et le déclenchement de workflows de réponse aux incidents réduisent le temps de séjour des attaquants.
Attack Signal Intelligence Vectra AI Attack Signal Intelligence sur la détection des comportements rendus possibles par Metasploit plutôt que de se fier uniquement aux signatures que les attaquants peuvent contourner. En analysant les métadonnées réseau et en corrélant les signaux d'attaque tout au long de la chaîne de cyberattaque, les équipes de sécurité obtiennent une visibilité sur les attaques basées sur Metasploit, même lorsque les charges utiles sont personnalisées ou cryptées.
La plateforme identifie les modèles de mouvements latéraux, les tentatives de vol d'identifiants et les communications de commande et de contrôle grâce à la modélisation comportementale. Cette approche détecte les sessions Meterpreter indépendamment du protocole de transport ou du codage, car les comportements d'attaque sous-jacents restent cohérents même lorsque les implémentations changent.
Le paysage des tests d'intrusion et des cadres C2 continue d'évoluer rapidement, et des changements importants sont attendus au cours des 12 à 24 prochains mois. Les organisations doivent se préparer à plusieurs développements clés qui auront un impact à la fois sur les capacités de test offensif et de détection défensive.
L'adoption du cadre alternatif C2 va s'accélérer. Le passage de Metasploit et Cobalt Strike Sliver, Havoc et Brute Ratel C4 va se poursuivre à mesure que les défenseurs amélioreront la détection des outils établis. Les groupes APT, dont APT29, ont déjà effectué cette transition. Les équipes de sécurité doivent étendre la couverture de détection au-delà des cadres traditionnels pour faire face à cette évolution.
Le développement d'exploits assisté par l'IA va faire son apparition. Les grands modèles linguistiques capables d'analyser les divulgations de vulnérabilités et de générer du code d'exploitation réduiront les obstacles au développement de modules. Cette tendance pourrait accélérer le délai entre la divulgation d'une vulnérabilité et son exploitation, augmentant ainsi la pression sur les programmes de gestion des vulnérabilités.
Les techniques d'attaqueCloud vont se développer. Les nouveaux types de session de Metasploit 6.4 pour les protocoles de base de données reflètent l'intérêt croissant pour cloud . Il faut s'attendre à ce que le développement de modules ciblant cloud , les API et les environnements de conteneurs se poursuive. Les stratégies de détection doivent dépasser les limites traditionnelles du réseau.
L'analyse mémoire deviendra la norme. À mesure que les techniques en mémoire telles que Meterpreter se généralisent, l'analyse mémoire passera d'une réponse spécialisée aux incidents à une surveillance de sécurité courante. Les solutions EDR avec analyse continue de la mémoire deviendront des exigences de base.
Les cadres réglementaires peuvent traiter des outils à double usage. Les contrôles à l'exportation et les réglementations en matière de divulgation responsable pourraient avoir une incidence sur la manière dont les cadres de tests d'intrusion distribuent certaines capacités. Les organisations doivent suivre l'évolution de la réglementation susceptible d'avoir une incidence sur les programmes de tests autorisés.
Étapes de préparation recommandées :
Metasploit est un framework open source de tests d'intrusion créé par H.D. Moore en 2003 et désormais maintenu par Rapid7. La plateforme contient plus de 2 300 exploits, 1 200 modules auxiliaires et 400 modules post-exploitation, ce qui en fait l'outil le plus complet au monde pour les tests de sécurité autorisés. Les professionnels de la sécurité utilisent Metasploit pour valider les résultats des scanners de vulnérabilité, démontrer les risques d'exploitation et tester les contrôles défensifs. Le framework prend en charge l'ensemble du cycle de vie d'une attaque, de la reconnaissance à la post-exploitation, avec des mises à jour hebdomadaires ajoutant des modules pour les vulnérabilités nouvellement divulguées. L'édition Framework gratuite et la version Pro commerciale (~15 000 $/an) donnent toutes deux accès à la même bibliothèque d'exploits, la version Pro ajoutant des fonctionnalités d'automatisation des flux de travail, de reporting et de collaboration.
L'utilisation de Metasploit est légale pour les tests de sécurité autorisés avec l'accord écrit explicite des propriétaires du système. Toute utilisation non autorisée sur des systèmes dont vous n'êtes pas propriétaire ou pour lesquels vous ne disposez pas d'une autorisation écrite est illégale en vertu des lois sur la fraude informatique, notamment la loi américaine Computer Fraud and Abuse Act (CFAA) et les législations équivalentes à l'échelle internationale. Les organisations doivent établir des accords formels de tests d'intrusion qui précisent la portée, le calendrier et les techniques acceptables avant le début des tests. Le téléchargement et l'installation du framework sont légaux ; la légalité dépend entièrement de la manière et du lieu d'utilisation. Les professionnels de la sécurité qui souhaitent obtenir des certifications telles que l'OSCP s'entraînent sur des environnements de laboratoire intentionnellement vulnérables conçus à cet effet.
Metasploit Framework est la version gratuite et open source accessible principalement via l'interface de ligne de commande msfconsole. Elle offre un accès complet à la bibliothèque d'exploits, mais nécessite une utilisation manuelle et une automatisation par script. Metasploit Pro, au prix d'environ 15 000 dollars par an, ajoute une interface graphique basée sur le Web, des workflows automatisés de scan et d'exploitation des vulnérabilités, des rapports personnalisables pour les parties prenantes, une collaboration multi-utilisateurs avec un accès basé sur les rôles, des campagnes d'ingénierie sociale intégrées et le support Rapid7 pour les entreprises. Les deux versions accèdent à la même bibliothèque centrale d'exploits et de modules. Les organisations disposant d'équipes dédiées aux tests de pénétration justifient souvent le coût de Pro par le gain de temps réalisé sur les rapports et la possibilité d'effectuer des évaluations coordonnées entre plusieurs testeurs.
La détection de Metasploit nécessite une visibilité multicouche sur le réseau, endpoint et les identités. Au niveau de la couche réseau, surveillez les modèles de trafic TLS caractéristiques de Meterpreter, les intervalles de balisage et les indicateurs de certificat par défaut. Déployez détection et réponse aux incidents qui identifient les comportements C2 plutôt que de se fier aux signatures. Au niveau endpoint, utilisez les règles YARA pour l'analyse de la mémoire, Sysmon pour la surveillance des relations entre les processus et surveillez les accès LSASS indiquant des tentatives de collecte d'informations d'identification. Activez la journalisation des blocs de scripts PowerShell pour capturer l'exécution des commandes encodées. La détection comportementale s'avère essentielle, car la nature personnalisable de Metasploit rend les signatures statiques inefficaces. Concentrez-vous sur les modèles d'attaque tels que les relations parent-enfant inhabituelles entre les processus, les séquences d'authentification latérales et les tentatives d'escalade de privilèges plutôt que sur des indicateurs spécifiques que les opérateurs peuvent modifier.
Meterpreter est la charge utile avancée en mémoire de Metasploit qui fonctionne entièrement dans la RAM sans écrire les composants principaux sur le disque. Cette conception contourne les solutions antivirus traditionnelles qui s'appuient sur l'analyse du système de fichiers. La charge utile utilise l'injection de DLL réfléchissante pour se charger dans la mémoire du processus sans déclencher les API de chargement Windows standard, et crypte toutes les communications de commande et de contrôle avec AES. Ses principales fonctionnalités comprennent l'accès au système de fichiers, la gestion des processus, le pivotement réseau, l'extraction d'identifiants via hashdump et l'intégration Mimikatz, l'établissement de la persistance et des fonctions de surveillance telles que l'enregistrement des frappes clavier et la capture d'écran. Meterpreter peut migrer entre les processus, ce qui permet aux opérateurs d'abandonner le processus d'exploitation initial au profit d'hôtes plus stables. La détection nécessite une analyse mémoire, une analyse comportementale et une surveillance des activités post-exploitation activées par Meterpreter.
Metasploit et Cobalt Strike des objectifs différents et excellent dans des scénarios différents. Metasploit offre une couverture inégalée en matière d'exploits avec plus de 2 300 modules pour la validation des vulnérabilités et les tests d'accès initiaux. Sa nature open source et sa documentation complète en font un outil idéal pour l'apprentissage et la préparation aux certifications. Cobalt Strike sur la simulation d'adversaires avec des fonctionnalités de sécurité opérationnelle plus robustes, des profils C2 malléables pour le mélange du trafic et des fonctionnalités de serveur collaboratif pour les équipes. De nombreuses équipes rouges professionnelles utilisent les deux : Metasploit pour l'exploitation initiale et la validation des vulnérabilités, puis Cobalt Strike les opérations post-exploitation étendues. cybercriminels tournent de plus en plus vers des alternatives telles que Sliver, car les défenseurs améliorent la détection des deux frameworks. Le choix approprié dépend des exigences spécifiques de l'engagement, des contraintes budgétaires et de la priorité accordée à la couverture des exploits ou à la discrétion opérationnelle.
Contrairement à Cobalt Strike S0154), Metasploit ne dispose pas d'une entrée MITRE ATT&CK dédiée avec une cartographie complète des techniques. Le framework est plutôt référencé dans T1588.002 (Obtenir des capacités : outil) comme exemple d'outils cybercriminels et déployés par cybercriminels . Cette technique documente des groupes tels que CopyKittens (G0052), Magic Hound (G0059) et la campagne C0010 (UNC3890) qui ont acquis Metasploit à des fins malveillantes. Bien qu'il ne dispose pas d'une entrée dédiée, les modules Metasploit mettent en œuvre des techniques dans les 14 tactiques ATT&CK, de l'accès initial à l'impact. Les équipes de sécurité qui cartographient les détections vers ATT&CK doivent identifier les comportements spécifiques des modules et les cartographier vers les techniques correspondantes plutôt que de se référer à une entrée Metasploit centralisée.
Plusieurs certifications industrielles incluent Metasploit dans leur programme de base. La certification OSCP (Offensive Security Certified Professional) délivrée par OffSec couvre de manière approfondie l'utilisation de Metasploit lors des tests d'intrusion, le cours gratuit Metasploit Unleashed servant de formation de base. La certification CEH (Certified Ethical Hacker) délivrée par l'EC-Council inclut des modules Metasploit dans ses épreuves pratiques. Rapid7 propose la certification MPCS (Metasploit Pro Certified Specialist) spécialement conçue pour sa plateforme commerciale. SANS SEC580 (Metasploit Kung Fu for Enterprise Penetration Testing) propose une formation avancée destinée aux équipes de sécurité des entreprises. Ces certifications valident les compétences pratiques sur Metasploit que les employeurs exigent de plus en plus pour les postes liés aux tests d'intrusion et aux équipes rouges.
Les charges utiles Metasploit par défaut sont détectées par la plupart des solutions antivirus modernes, car leurs signatures sont répertoriées depuis des années. Cependant, le framework fournit plusieurs techniques d'évasion. Les modules d'encodage obscurcissent les charges utiles afin d'éviter les correspondances de signatures. Les modules d'évasion, introduits en 2018, génèrent des charges utiles spécialement conçues pour contourner la détection AV/EDR. La génération de charges utiles personnalisées via msfvenom permet de créer des binaires uniques qui échappent à la détection basée sur les signatures. Plus important encore, l'injection de DLL réfléchissante de Meterpreter fonctionne entièrement en mémoire, contournant ainsi les solutions antivirus qui ne scannent que les fichiers sur le disque. Une détection efficace nécessite une surveillance comportementale, un scan de la mémoire et une analyse des activités post-exploitation plutôt que de se fier uniquement aux signatures basées sur les fichiers. C'est pourquoi les plateformes modernes endpoint et de réponse endpoint se concentrent sur les indicateurs comportementaux plutôt que sur les signatures statiques.
Plusieurs frameworks offrent des alternatives ou des compléments à Metasploit en fonction des exigences spécifiques des tests. Cobalt Strike ~5 900 $/an) propose une simulation avancée des adversaires avec des fonctionnalités de sécurité opérationnelle renforcées. Sliver est un framework C2 open source basé sur Go qui est de plus en plus adopté pour les opérations multiplateformes et les environnements cloud. Havoc offre des capacités C2 modernes avec une extensibilité et un développement communautaire. Brute Ratel C4 (environ 2 500 $/an) se concentre spécifiquement sur l'évasion EDR pour les opérations avancées de la équipe rouge. Mythic offre un framework C2 modulaire et multiplateforme avec une interface web. Empire fournit une post-exploitation basée sur PowerShell spécifiquement pour les environnements Windows. Core Impact et Immunity Canvas offrent des alternatives commerciales avec différents modèles de licence. La plupart des équipes de sécurité professionnelles utilisent plusieurs outils : Metasploit pour la validation générale des vulnérabilités, avec des frameworks spécialisés pour des exigences d'engagement spécifiques.