EnlargeKirillm / Гети изображения
Инструментите, използвани от изследователи по сигурността, тестери за проникване и “червените екипи” често разпалват спорове, защото те пакетират заедно, и автоматизира, атаки до степен, която прави някои неудобни – и често тези инструменти се сгъват в комплектите от тях с по-малко благородни занимания.AutoSploit, нов инструмент, издаден от „ентусиаст на киберсигурността“ направи повече от разпалване на спорове, чрез комбиниране на два добре познати инструмента в автоматик машина за лов и хакване – по почти същия начин, по който хората вече може да има заедно с час или два скриптове за копиране.
Злобните страни имат въоръжена програма за сканиране на мрежи команди и инструменти за защита с различни форми на автоматизация преди. Чрез „стрес тестове“ инструменти като „Йонно оръдие с ниска орбита“ (LOIC), High Orbit Ion Cannon (написано в RealBasic!) И Сайтът за напрежение на Lizard Squad, захранван от хакнати Wi-Fi рутери, те взе подвизи, добре познати на специалистите по сигурността и ги превърна в политически и икономически оръжия. Боетнетът Mirai направи същото и с Устройства „Интернет на нещата“, изграждане на саморазпространяващ се инструмент за атака на базата на добре документирани уязвимости в свързани устройства.
AutoSploit е малко по-сложен, но само защото използва два популярни, добре поддържани инструменти за сигурност. „Както името може да предполага “, пише неговият автор на страницата на инструмента GitHub, „AutoSploit се опитва да автоматизира експлоатацията на отдалечени хостове.“ За да направите това, скриптът Python използва интерфейси и текст на командния ред файлове за извличане на данни от базата данни Shodan, което е търсене двигател, който използва данни за сканиране при милиони свързани с Интернет системи. След това AutoSploit изпълнява командите на черупките, за да изпълни Рамка за тестване на метасплайт за проникване.
Току-що пуснах AutoSploit в #Github. # Питон базирана маса #exploit #tool. Събира цели чрез #Shodan и автоматично извиква избрани модули #Metasploit за улесняване # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec # Програмиране # Сигурност pic.twitter.com/hvc3vrNCEJ
– VectorSEC (@Real__Vector) 30 януари 2018 г.
В допълнение към работа с отделни модули на Metasploit, пригодени за вида на целта, скриптът може също да стартира автоматизирано „Градушка Мери “атакува – изхвърля всеки модул, който е на разположение на Metasploit рамка за всяка цел. Така че, по принцип AutoSploit е маса инструмент за атака с ограничени възможности за насочване.
Пускането на инструмента в GitHub предизвика протест от защитници на сигурността, които са били загрижени за подслушването на Shodan би дал на инструмента възможността за масово използване на хиляди уязвими устройства на Интернет на нещата (IoT) като ботнет Mirai направи миналата година. Ричард Бейтлих от TaoSecurity отказа инструмент в Twitter, казвайки: “Не е необходимо да се освобождава това. Вратовръзката до Shodan го поставя през ръба. Няма основателна причина за това поставят масовата експлоатация на публичните системи в обхвата на скрипта дечица. ”
В друга тема за разговор в Twitter, Изследовател по сигурността Амит Серпър се съгласи. „Подвизите, които открих и разкрих, са сега се използва за работа с гигантски бонети. Даване на сценарий деца способността да притежавате стотици хиляди устройства е идея BAD. ”
Въпреки това, избухването на морално възмущение над този част от код – малко над 400 реда Python прекараха най-вече за натискане на команда низове към API на Shodan или към командния ред на Metasploit интерфейс – изглежда малко на място за редица причини – включително факта, че кодът му не прави нищо двойка на много по-къси, по-прости скриптове биха могли да се справят по-добре.
До известна степен този протест е повторение на спора, че Metasploit и Shodan генерираха самостоятелно преди десетилетие. На това време, когато Х.Д. Мур пусна рамката на Metasploit, някои хората смятаха, че е отишло твърде далеч. И още през 2009 г. на TaoSecurity Bejtlich каза, че Shodan е “на няколко стъпки по интригата като пътека за услуга (IaaS) и прогнозира, че ще изчезне.
Този спор най-вече е избледнял. Metasploit вече е професионално се поддържа от софтуерната компания за сигурност Rapid7 и се използва от специалисти по сигурността и правоприлагащи органи (като както и от други с не толкова благородни намерения). И Шодан сега предлага платен достъп за големи обеми заявки чрез програмиране интерфейсни клавиши – докато някои открито предлагат инструменти за проверка на качеството от клавишите Shodan, изтрити от мрежата. („Можете да намерите peopleAPI клавиши навсякъде в „Net, yo.“)
Дори ако AutoSploit се опитва да зашие тези инструменти в нещо по-огромен (което въз основа на нашия преглед на кода го прави) не се справя много добре), не прави нещо, което не е било възможно за близо десетилетие. Дан Тентлер, основател на Phobos Group, каза, че мисли за целия страх и възмущение заради AutoSploit беше поставен погрешно. „Водех разговори как да тръбим Шодан в градушката Характеристиката на Мери от Cobalt Strike преди близо 10 години – каза той времето, то падна върху глухи уши. Изглежда хората не се интересуват. ”
Ако не друго, AutoSploit демонстрира колко е достъпен за „кибер ентусиасти “на всички съществуващи инструменти – и те са станали по този начин поради исканията на организациите, които използват инструменти вътрешно. „Ще продължим да виждаме, че този проблем се появява като ние продължаваме да намаляваме сигурността и да го правим супер лесно за хората които не са „компютърни“, за да разберат “, каза Тентлер.
Кодекс говори
AutoSploit е изключително тъп инструмент. Заради начина, по който автоматизира както Shodan, така и Metasploit, способността да бъде донякъде придирчиви към избраните цели е силно ограничен. Какъвто и низ за търсене да се пуска срещу Shodan, ще трябва да съвпада с текст в името или пътя на модулите Metasploit, които отговарят на това – което означава, че ще трябва да бъдат много авансова работа, за да накара този инструмент да работи срещу нещо различно от обичайни уеб и MySQL цели.
AutoSploit предлага минимално минимално ръководство за въвеждане на a заявка:
Моля, предоставете специфична за вашата платформа заявка за търсене Т.Е. 'IIS' ще върне списък с IP адреси, принадлежащи на IIS сървърите
Разбира се, ако влезете в „IIS“, ще получите и повече от пет милиона резултати, така че това може да отнеме известно време. За всеки резултат скрипт ще изпише адреса на интернет протокола на системата във файл, наречен “hosts.txt”.
И това е за интерфейса Shodan. Следващата част е изпомпване тези данни в Metasploit. Използване на текста, използван за Търсене на Shodan, скриптът намира редовете в текстов файл, наречен module.txt (който трябва да бъде персонализиран въз основа на съдържанието на модулната библиотека) и ги изхвърля в сортиран списък. Алтернативно, потребителят може просто да се опита да стартира всички с това Опция “Привет Мери”.
Преди скриптът да може да стартира какъвто и да е експлоататор, той трябва да се увери в Рамка на Metasploit и необходимите й компоненти – включително PostgreSQL база данни – работи. Прави го, като пусне няколко черупки командва и ги представя като “Хуеристика” [sic]:
postgresql = cmdline ("статус на услугата postgresql | статус | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] Предупреждение. Хуеристиките показват, че Postgresql Service е извън линия"
Ако всичко работи, скриптът ще стартира Metasploit атаки срещу всички хостове в предварително написания текстов файл. Това може да отнеме известно време – и ако се изпълнява от дома, това може да доведе при посещение от органите на реда.
“Ако някой е загрижен за това”, изследователят Кевин Бомонт “Вашият модел на заплаха се срива при децата, които се отегчават да бягат Python скриптове. ”
