Meterpreter란

agnusdei·2025년 11월 8일

CTF

목록 보기

163/185

Meterpreter는 Metasploit Project와 Metasploit Framework의 핵심적인 부분이자 고급 페이로드(Advanced Payload)입니다.

페이로드는 공격자가 대상 시스템을 성공적으로 공격(exploit)한 후 실행하고자 하는 악성 코드 또는 명령어를 의미하며, Meterpreter는 이 페이로드 중에서도 특히 강력하고 유연한 기능을 제공하는 도구입니다.

Metasploit Project는 침투 테스트(Penetration Testing) 및 보안 취약점 연구를 위해 사용되는 컴퓨터 보안 프로젝트입니다.

Meterpreter는 대상 시스템에 대한 완전한 제어권을 획득하고 유지하기 위해 설계되었으며, 그 특징은 주로 은밀성(Stealth)과 확장성(Extensibility)에 초점을 맞춥니다.

Meterpreter가 모의 해킹 전문가와 공격자 모두에게 선호되는 가장 큰 이유입니다.

메모리 상주 (In-Memory Only): Meterpreter는 일반적으로 디스크에 아무것도 쓰지 않고 대상 시스템의 메모리 내에서만 작동합니다. 이는 파일 시스템 기반의 안티바이러스(Anti-Virus, AV)나 포렌식 도구의 탐지를 피하는 데 매우 효과적입니다.
프로세스 주입 (Process Injection): 새로운 프로세스를 생성하지 않고, 이미 실행 중인 기존 프로세스에 자체 코드를 주입하여 실행됩니다. 이를 통해 시스템에 미치는 영향을 최소화하고 의심을 줄일 수 있습니다.
암호화 통신 (Encrypted Communication): 공격자와 대상 시스템 간의 통신은 암호화되어 있어 네트워크 모니터링 시스템(Intrusion Detection System, IDS)에 의해 쉽게 분석되는 것을 방지합니다.

동적 로딩 (Dynamic Loading): Meterpreter는 필요한 기능을 런타임(runtime)에 네트워크를 통해 확장(extension) 모듈 형태로 로드합니다. 이는 초기 페이로드의 크기를 작게 유지하면서도 필요에 따라 강력한 기능을 추가할 수 있게 합니다.
대화형 셸 (Interactive Shell): Meterpreter 세션을 통해 대상 시스템에 접속하면, 단순히 명령줄 셸(Command Shell)을 얻는 것을 넘어, 다양한 내장 명령어를 사용할 수 있는 대화형 환경이 제공됩니다.

Meterpreter 세션을 획득한 후에는 다음과 같은 강력한 Post-Exploitation (공격 후) 활동을 수행할 수 있습니다.

기능 분야	명령어 (예시)	설명
시스템 정보	`sysinfo`, `getuid`	운영체제(Operating System, OS), 사용자 권한 등의 정보를 확인합니다.
파일 시스템	`upload`, `download`	대상 시스템에서 파일을 업로드하거나 다운로드합니다.
네트워크	`portfwd`, `route`	포트 포워딩을 설정하거나 네트워크 경로를 수정하여 내부 네트워크에 접근합니다.
정보 수집	`hashdump`	Windows 시스템의 비밀번호 해시(Password Hash)를 덤프(dump)하여 오프라인에서 크래킹(cracking)에 사용합니다.
감시	`screenshot`, `webcam_snap`	대상 시스템의 화면을 캡처하거나 웹캠으로 사진을 찍습니다.
추가 모듈	`load` (e.g., `load mimikatz`)	Mimikatz와 같은 추가적인 인메모리(in-memory) 모듈을 로드하여 비밀번호, 자격 증명 등을 추출합니다.
권한 상승	`getsystem`	시스템의 최고 권한(SYSTEM/root)을 획득하려고 시도합니다.

Meterpreter는 침투 테스트를 수행하는 윤리적 해커(Ethical Hacker, 펜테스터)가 조직의 보안 취약점을 발견하고 방어 메커니즘을 테스트하는 데 핵심적으로 사용되는 도구입니다.

DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent