ZvětšitKirillm / Getty Images
Nástroje používané výzkumníky v oblasti bezpečnosti, testery penetrace a „červené týmy“ často vyvolávají kontroverzi, protože se balí dohromady, a automatizovat útoky do té míry, že některé jsou nepříjemné – a často se tyto nástroje nakonec složí do jejich souprav s méně ušlechtilým pronásledováním.AutoSploit, nový nástroj vydaný společností „nadšenec kybernetické bezpečnosti“ učinil více než jen kontroverze, kombinováním dvou známých nástrojů do automatického lovecký a hackovací stroj – stejně jako lidé s hodinou nebo dvěma kopírovacími skripty dohromady.
Škodlivé strany mají ozbrojené skenovací nástroje, síť příkazy a bezpečnostní nástroje s různými formami automatizace před. Pomocí „stresových testovacích“ nástrojů, jako je „nízkooběžná iontová děla“ (LOIC), High Orbit Ion Cannon (napsáno v RealBasic!) A Stránky stresoru společnosti Lizard Squad využívané hackovanými směrovači Wi-Fi vzal exploity známé profesionálům v oblasti bezpečnosti a změnil je na politické a ekonomické zbraně. Síť Mirai udělala totéž s Zařízení internetu věcí, budování samoobslužného útočného nástroje na základě dobře zdokumentovaných zranitelností v připojených zařízeních.
AutoSploit je o něco složitější, ale pouze proto, že je využívá dva populární, dobře podporované bezpečnostní nástroje. „Jako jméno může navrhnout, “napsal autor na stránce GitHub nástroje, “AutoSploit se pokouší automatizovat využívání vzdálených hostitelů.” K tomu používá skript Python rozhraní příkazového řádku a text soubory extrahovat data z databáze Shodan, což je vyhledávání motor, který se napojuje na skenovaná data na milionech připojení k internetu systémy. AutoSploit poté spustí příkazy shellu k provedení Rámec pro testování pronikání metaspoužitím.
Právě jsem vydal AutoSploit na #Github. # Hmota založená na fytonu #exploit #tool. Sbírá cíle přes #Shodan a automaticky vyvolá vybrané #Metasploit moduly pro usnadnění # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ
– VectorSEC (@Real__Vector) 30. ledna 2018
Kromě spouštění jednotlivých modulů Metasploit šitých na míru typu cíle, může skript také spustit automatické “krupobití.” Mary “útočí – hodí každý modul, který má Metasploit k dispozici rámec u každého cíle. V zásadě je tedy AutoSploit masou útočný nástroj s omezenými schopnostmi cílení.
Uvolnění nástroje na GitHubu vyvolalo pobouření bezpečnostní doomsayers, kteří se obávali, že se napojí na Shodana by nástroju umožnilo hromadně využívat tisíce zranitelná zařízení internetu věcí (IoT), jako je boti Mirai minulý rok.Richard Bejtlich z TaoSecurity odsoudil nástroj na Twitteru, který říká: „Není třeba to uvolňovat Shodan to položí přes okraj. Neexistuje žádný legitimní důvod dát masové využívání veřejných systémů na dosah skriptu děti. ”
V dalším konverzačním vláknu na Twitteru, výzkumném pracovníku zabezpečení Amit Serper souhlasil. „Využití, které jsem objevil a zveřejnil, jsou nyní provozoval gigantické botnety. Dává skript dětem schopnost vlastnit stovky tisíc zařízení je BAD nápad. “
Avšak výbuch morálního pobouření nad tímto konkrétním kouskem kód – něco přes 400 řádků Pythonu utratilo většinou za tlačení příkazu řetězce do Shodanova API nebo do příkazového řádku Metasploit rozhraní – zdá se trochu pro mnoho důvody – včetně skutečnosti, že jeho kód nedělá nic, co pár mnohem kratších, jednodušších skriptů by se dalo lépe.
Do jisté míry je tento výkřik opakováním diskuse Metasploit a Shodan vytvořili své vlastní před deseti lety. V tom čas, kdy H.D. Moore uvolnil rámec Metasploit lidé si mysleli, že to zašlo příliš daleko. A zpět v roce 2009, TaoSecurity’s Bejtlich řekl, že Shodan byl “několik kroků po narušení jako.” cesta služby (IaaS) “a předpověděla, že by zmizela.
Tato diskuse většinou vybledla. Metasploit je nyní profesionálně podporován bezpečnostní softwarovou společností Rapid7 a byl použit bezpečnostními profesionály a donucovacími orgány (jako stejně jako ostatní s méně ušlechtilými úmysly). A Shodan nyní nabízí placený přístup k velkým objemům dotazů prostřednictvím programování klíče rozhraní – zatímco některé otevřeně nabízejí nástroje ke kontrole kvality Shodanových klíčů seškrábal z webu. (“Můžeš najít peopleAPI keys all ‘Net, yo. “)
I když se AutoSploit pokusí tyto nástroje spojit do něčeho více impozantní (což na základě naší revize kódu dělá nedělejte dobře), nedělá nic, co nebylo možné téměř deset let. Dan Tentler, zakladatel Phobos Group, řekl, že si myslel, že veškerý strach a pobouření nad AutoSploitem byl ztracen. “Mluvil jsem o tom, jak Shodana zavrtat do krupobití.” Mary má Cobalt Strike před 10 lety, “řekl čas dopadl na hluché uši. Zdálo se, že se o to lidé nestarají. “
AutoSploit, pokud vůbec něco, ukazuje, jak přístupný pro „kybernetickou“ nadšenci “všech pruhů, které existují, jsou – a stali se tímto způsobem kvůli požadavkům organizací, které používají internet nástroje interně. “Budeme i nadále vidět, že se tento problém objeví jako pokračujeme v hloupém zabezpečení a usnadňujeme to lidem kteří ‘počítač’ nerozumí, ‘řekl Tentler.
Kód mluví
AutoSploit je velmi tupý nástroj. Kvůli tomu to tak bylo automatizuje jak Shodan, tak Metasploit, schopnost být poněkud vybírání o cílech, které jsou vybrány, je přísně omezeno. Ať už je jakýkoli vyhledávací řetězec spuštěn proti Shodanovi, bude muset odpovídat s textem v názvu nebo cestě modulů Metasploit, které odpovídají tomu – to znamená, že bude muset být hodně prvotní práce, aby tento nástroj fungoval proti čemukoli jinému než obvyklé webové a MySQL cíle.
AutoSploit nabízí holé minimální vedení při zadávání a dotaz:
Zadejte prosím vyhledávací dotaz pro konkrétní platformu TJ. 'IIS' vrátí seznam IP patřících k serverům IIS
Vstupem do „IIS“ samozřejmě získáte více než pět miliony výsledků, takže to může chvíli trvat. Pro každý výsledek, skript vypíše adresu internetového protokolu systému do souboru s názvem „hosts.txt“.
A to je pro rozhraní Shodan. Další část je čerpání že data do Metasploit. Pomocí textu, který byl použit pro Shodan hledá, skript najde řádky v textovém souboru s názvem modules.txt (který je třeba přizpůsobit na základě obsahu modul modul) a vypíše je do seřazeného seznamu. Alternativně se uživatel může pokusit spustit všechny z nich Možnost „Hail Mary“.
Než může skript spustit jakékoli zneužití, musí se ujistit, že Metasplotový rámec a jeho požadované komponenty – včetně Databáze PostgreSQL – běží. To se provádí spuštěním několika shellů příkazy a představuje je jako “Hueristics” [sic]:
postgresql = cmdline ("sudo service postgresql status | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] Warning. Hueristics naznačuje, že služba Postgresql je offline “
Pokud všechno funguje, skript poté spustí Metasploit útoky proti všem hostitelům v dříve psaném textovém souboru. Může to chvíli trvat – a pokud bude provedeno z domova, může to mít za následek při návštěvě od vymáhání práva.
„Pokud se o to někdo zajímá,“ výzkumník Kevin Beaumont řekl: „Váš model hrozby se zhroutí, když se děti nudí Pythonovy skripty. ”
