Bedrohung oder Bedrohung? Das „Autosploit“ -Tool löst Ängste aus von ermächtigten “Script Kiddies”

Bedrohung oder Bedrohung? DasVergrößernKirillm / Getty Images

Die Tools von Sicherheitsforschern, Penetrationstestern und “Rote Teams” lösen häufig Kontroversen aus, weil sie zusammenpacken, und automatisieren Sie Angriffe in einem Ausmaß, das manche unangenehm macht – und Oft werden diese Werkzeuge in die Kits derer eingeklappt mit weniger edlen Beschäftigungen. AutoSploit, ein neues Tool von a “Cyber ​​Security-Enthusiast” hat mehr als nur Kontroversen ausgelöst, durch die Kombination von zwei bekannten Werkzeugen zu einem Automat Jagd- und Hackmaschine – ähnlich wie die Leute schon könnte mit ein oder zwei stunden kopier-skripte zusammenfügen.

Böswillige Parteien haben Scan-Dienstprogramme, Netzwerk-Waffen Befehle und Sicherheitstools mit verschiedenen Formen der Automatisierung Vor. Durch “Stresstests” Tools wie “Low-Orbit Ion Cannon” (LOIC), High Orbit Ion Cannon (geschrieben in RealBasic!) Und Lizard Squads kleinere Site, die von gehackten WLAN-Routern angetrieben wird nahm Sicherheitsfachleuten bekannte Exploits und verwandelte sie in politische und wirtschaftliche Waffen. Das Mirai-Botnetz tat dasselbe mit Internet of Things-Geräte, die ein sich selbst verbreitendes Angriffstool entwickeln basierend auf gut dokumentierten Schwachstellen in verbundenen Geräten.

AutoSploit ist etwas ausgefeilter, aber nur deshalb nutzt zwei beliebte, gut unterstützte Sicherheitstools. “Wie der Name könnte vorschlagen, “schrieb der Autor auf der GitHub-Seite des Tools, “AutoSploit versucht, die Ausnutzung von Remote-Hosts zu automatisieren.” Zu diesem Zweck verwendet das Python-Skript Befehlszeilenschnittstellen und Text Dateien zum Extrahieren von Daten aus der Shodan-Datenbank, bei der es sich um eine Suche handelt Engine, die Scan-Daten auf Millionen von mit dem Internet verbundenen Geräten abruft systeme. AutoSploit führt dann Shell-Befehle aus, um den Befehl auszuführen Rahmen für Penetrationstests mit Metasploit.

Ich habe gerade AutoSploit auf #Github veröffentlicht. #Python-basierte Masse #exploit #tool. Sammelt Ziele über #Shodan und automatisch ruft ausgewählte #Metasploit-Module auf, um dies zu vereinfachen # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ

– VectorSEC (@Real__Vector), 30. Januar 2018

Neben der Ausführung einzelner Metasploit-Module zugeschnitten auf Je nach Art des Ziels kann das Skript auch automatisch “Hagel” starten “Mary” greift an und wirft jedes Modul aus, das dem Metasploit zur Verfügung steht Rahmen bei jedem Ziel. AutoSploit ist also im Grunde genommen eine Masse Angriffstool mit eingeschränkten Zielfunktionen.

Die Veröffentlichung des Tools auf GitHub löste einen Aufschrei aus Sicherheitsverderber, die besorgt waren, dass sie Shodan angriffen Dies würde dem Tool die Möglichkeit geben, Tausende von Anwendungen zu nutzen anfällige IoT-Geräte (Internet of Things) wie das Mirai-Botnetz hat letztes Jahr. Richard Bejtlich von TaoSecurity hat den Tool auf Twitter und sagte: “Es gibt keine Notwendigkeit, dies zu veröffentlichen. Die Krawatte Shodan legt es über die Kante. Es gibt keinen berechtigten Grund dafür die Massenausbeutung öffentlicher Systeme in die Reichweite von Skripten bringen Kinder. ”

In einem anderen Gesprächsthread auf Twitter, Sicherheitsforscher Amit Serper stimmte zu. “Exploits, die ich entdeckt und enthüllt habe, sind Jetzt verwendet, um gigantische Botnetze zu betreiben. Geben Script Kiddies die Die Fähigkeit, Hunderttausende von Geräten zu besitzen, ist eine schlechte Idee. ”

Der Ausbruch moralischer Empörung über dieses besondere Stück Code – etwas mehr als 400 Python-Zeilen wurden hauptsächlich für das Drücken von Befehlen ausgegeben Zeichenfolgen zu Shodans API oder zur Befehlszeile von Metasploit interface – scheint für einige ein wenig fehl am Platz zu sein Gründe – einschließlich der Tatsache, dass sein Code nichts tut, dass ein Paar von viel kürzeren, einfacheren Skripten könnte man es besser machen.

Bis zu einem gewissen Grad ist dieser Aufschrei eine Wiederholung der Kontroverse darüber Metasploit und Shodan haben vor einem Jahrzehnt auf eigene Faust generiert. An dem Zeit, wenn H.D. Moore hat zum Teil das Metasploit-Framework veröffentlicht Die Leute dachten, es sei zu weit gegangen. Und im Jahr 2009 TaoSecurity Bejtlich sagte, Shodan sei “mehrere Schritte entlang der Intrusion” a Service (IaaS) path “und sagte voraus, dass er verschwinden würde.

Diese Kontroverse ist größtenteils verblasst. Metasploit ist jetzt professionell unterstützt von der Sicherheits-Software-Firma Rapid7 und wurde von Sicherheitsfachleuten und Strafverfolgungsbehörden (als auch von anderen mit weniger edlen Absichten). Und jetzt Shodan bietet kostenpflichtigen Zugang für große Mengen von Anfragen durch Programmierung Schnittstellentasten – während einige offen Tools zum Überprüfen der Qualität anbieten von Shodan-Schlüsseln aus dem Web gekratzt. “Sie können finden People’sAPI-Schlüssel im ganzen Netz, yo. “)

Selbst wenn AutoSploit versucht, diese Werkzeuge in etwas zusammenzufügen formidabler (was unserer Überprüfung des Codes zufolge der Fall ist) nicht sehr gut), es macht nichts, was es nicht getan hat möglich für fast ein Jahrzehnt. Dan Tentler, Gründer der Phobos Group, sagte, dass er all die Angst und Empörung über AutoSploit dachte wurde verlegt. “Ich habe darüber gesprochen, wie man Shodan in den Hagel leitet Mary Feature von Cobalt Strike vor fast 10 Jahren “, sagte er.” Um Die Zeit stieß auf taube Ohren. Die Leute schienen sich nicht darum zu kümmern. ”

Wenn überhaupt, zeigt AutoSploit, wie zugänglich “Cyber” ist “Enthusiasten” aller Streifen sind vorhandene Werkzeuge – und sie sind geworden auf diese Weise aufgrund der Anforderungen der Organisationen, die die Werkzeuge intern. “Wir werden weiterhin sehen, wie dieses Problem auftaucht Wir stellen die Sicherheit weiterhin in den Schatten und machen es den Menschen super einfach die nicht “Computer” verstehen “, sagte Tentler.

Code sprechen

AutoSploit ist ein extrem stumpfes Werkzeug. Wegen der Art und Weise automatisiert sowohl Shodan als auch Metasploit, die Fähigkeit etwas zu sein Die Auswahl der ausgewählten Ziele ist stark eingeschränkt. Welche Suchzeichenfolge auch immer gegen Shodan ausgeführt wird, muss übereinstimmen mit Text im Namen oder Pfad der Metasploit-Module, die korrespondiere damit – was bedeutet, dass es eine Menge davon geben muss Vorabarbeit, damit dieses Tool gegen alles andere als gegen das funktioniert übliche Web- und MySQL-Ziele.

AutoSploit bietet das Nötigste für die Eingabe von Abfrage:

Bitte geben Sie Ihre plattformspezifische Suchanfrage an I.E.  'IIS' gibt eine Liste der IPs zurück, die zu IIS-Servern gehören 

Wenn Sie “IIS” eingeben, erhalten Sie natürlich auch mehr als fünf Millionen Ergebnisse, daher kann dies eine Weile dauern. Für jedes Ergebnis wird die Das Skript schreibt die Internet Protocol-Adresse des Systems aus in eine Datei namens “hosts.txt”.

Und das war’s für die Shodan-Oberfläche. Der nächste Teil pumpt diese Daten in Metasploit. Verwenden des Texts, der für das verwendet wurde Shodan-Suche findet das Skript die Zeilen in einer Textdatei mit dem Namen modules.txt (muss angepasst werden, basierend auf dem Inhalt von die Modulbibliothek) und legt sie in einer sortierten Liste ab. Alternativ kann der Benutzer einfach versuchen, alle damit auszuführen Option “Gegrüßet seist du Maria”.

Bevor das Skript einen Exploit ausführen kann, muss es sicherstellen, dass Metasploit-Framework und die erforderlichen Komponenten, einschließlich des PostgreSQL-Datenbank – wird ausgeführt. Dies geschieht durch Ausführen einiger Shell befiehlt und präsentiert diese als “Hueristics”:

postgresql = cmdline ("sudo service postgresql status | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] Warnung: Hueristics gibt an, dass Postgresql Service ist offline"

Wenn alles funktioniert, startet das Skript Metasploit Angriffe gegen alle Hosts in der zuvor geschriebenen Textdatei. Dies kann eine Weile dauern – und wenn es von zu Hause aus durchgeführt wird, kann es dazu kommen in einem Besuch von Strafverfolgungsbehörden.

“Wenn jemand darüber besorgt ist”, meint der Forscher Kevin Beaumont sagte: “Ihr Bedrohungsmodell bricht zusammen, wenn Kinder sich beim Laufen langweilen Python-Skripte. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: