�Amenaza o amenaza? La herramienta “Autosploit” despierta temores de “kiddies script” empoderados

¿Amenaza o amenaza? La herramientaEnlargeKirillm / Getty Images

Las herramientas utilizadas por los investigadores de seguridad, probadores de penetración y Los “equipos rojos” a menudo generan controversia porque se agrupan, y automatizar ataques a un grado que los haga sentir incómodos, y a menudo, esas herramientas terminan siendo dobladas en los kits de esos con actividades menos nobles. AutoSploit, una nueva herramienta lanzada por un “entusiasta de la seguridad cibernética” ha hecho más que provocar controversia, sin embargo, al combinar dos herramientas conocidas en una automática máquina de caza y piratería, de la misma manera que la gente ya podría con una o dos horas de copiar y pegar guiones juntos.

Las partes maliciosas tienen utilidades de escaneo armadas, red comandos y herramientas de seguridad con varias formas de automatización. antes de. Mediante herramientas de “prueba de esfuerzo” como “Cañón de iones de órbita baja” (LOIC), High Orbit Ion Cannon (escrito en RealBasic!), Y el El sitio estresante de Lizard Squad impulsado por enrutadores Wi-Fi pirateados, ellos tomó exploits conocidos por los profesionales de seguridad y los convirtió en Armas políticas y económicas. La botnet Mirai hizo lo mismo con Dispositivos de Internet de las cosas, construyendo una herramienta de ataque autoexpandible basado en vulnerabilidades bien documentadas en dispositivos conectados.

AutoSploit es un poco más sofisticado pero solo porque aprovecha dos herramientas de seguridad populares y bien soportadas. “Como el nombre podría sugerir “, escribió su autor en la página GitHub de la herramienta, “AutoSploit intenta automatizar la explotación de hosts remotos”. Para hacer eso, el script Python usa interfaces de línea de comando y texto archivos para extraer datos de la base de datos Shodan, que es una búsqueda motor que aprovecha los datos escaneados en millones de conectados a Internet sistemas. AutoSploit luego ejecuta comandos de shell para ejecutar el Marco de prueba de penetración Metasploit.

Acabo de lanzar AutoSploit en #Github. # Masa basada en pitón #exploit #tool. Reúne objetivos a través de #Shodan y automáticamente invoca los módulos seleccionados #Metasploit para facilitar # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec #Programación #Seguridad pic.twitter.com/hvc3vrNCEJ

– VectorSEC (@Real__Vector) 30 de enero de 2018

Además de ejecutar módulos Metasploit individuales diseñados para el tipo de objetivo, el script también puede lanzar “Hail automatizado Mary “ataca, lanzando todos los módulos disponibles para Metasploit marco en cada objetivo. Entonces, básicamente, AutoSploit es una masa herramienta de ataque con capacidades limitadas de orientación.

El lanzamiento de la herramienta en GitHub provocó una protesta de doomsayers de seguridad que estaban preocupados por aprovechar Shodan daría a la herramienta la capacidad de explotar en masa miles de Dispositivos vulnerables de Internet de las cosas (IoT) como la botnet Mirai hizo el año pasado. Richard Bejtlich de TaoSecurity denunció el herramienta en Twitter, que dice: “No hay necesidad de lanzar esto. El empate a Shodan lo pone al límite. No hay una razón legítima para Poner la explotación masiva de los sistemas públicos al alcance del script niños “.

En otro hilo de conversación en Twitter, investigador de seguridad Amit Serper estuvo de acuerdo. “Los exploits que descubrí y revelé son ahora solía operar botnets gigantes. Dar guión kiddies the la capacidad de poseer cientos de miles de dispositivos es una MALA idea “.

Sin embargo, el estallido de indignación moral sobre este poco particular de código: poco más de 400 líneas de Python gastadas principalmente en presionar comandos cadenas a la API de Shodan o a la línea de comandos de Metasploit interfaz: parece un poco fuera de lugar para una serie de razones, incluido el hecho de que su código no hace nada que un par de secuencias de comandos mucho más cortas y simples podría mejorar.

Hasta cierto punto, esta protesta es una repetición de la controversia que Metasploit y Shodan generaron por su cuenta hace una década. A eso tiempo, cuando H.D. Moore lanzó el marco Metasploit, algunos la gente pensó que fue demasiado lejos. Y en 2009, TaoSecurity’s Bejtlich dijo que Shodan estaba “varios pasos a lo largo de la Intrusión como una ruta de servicio (IaaS) “y predijo que desaparecería.

Esa controversia se ha desvanecido en su mayoría. Metasploit es ahora profesionalmente respaldado por la compañía de software de seguridad Rapid7 y ha sido utilizado por profesionales de seguridad y agentes del orden (como así como por otros con intenciones menos nobles). Y Shodan ahora ofrece acceso pago para grandes volúmenes de consultas a través de la programación teclas de interfaz, mientras que algunas ofrecen abiertamente herramientas para verificar la calidad de llaves Shodan raspadas de la web. (“Puedes encontrar las claves IPI de la gente en toda la ‘Red, yo “)

Incluso si AutoSploit intenta unir estas herramientas en algo más formidable (que, según nuestra revisión del código, lo hace no lo hago muy bien), no está haciendo nada que no haya sido posible por casi una década. Dan Tentler, fundador del grupo Phobos, dijo que pensaba en todo el miedo y la indignación por AutoSploit estaba fuera de lugar. “Hice charlas sobre cómo llevar a Shodan al Granizo La característica de Mary de Cobalt Strike hace casi 10 años “, dijo.” la vez, cayó en oídos sordos. A la gente no parecía importarle “.

En todo caso, AutoSploit demuestra cuán accesible es para “cyber entusiastas “de todas las franjas son las herramientas existentes, y se han convertido de esa manera debido a las demandas de las organizaciones que utilizan el herramientas internamente. “Continuaremos viendo surgir este problema a medida que seguimos simplificando la seguridad y haciéndola súper fácil para las personas que no entienden “computadora”, dijo Tentler.

Código hablando

AutoSploit es una herramienta extremadamente contundente. Por la forma en que automatiza tanto a Shodan como a Metasploit, la capacidad de ser algo exigente con los objetivos que se seleccionan es muy limitado. Cualquier cadena de búsqueda que se ejecute contra Shodan tendrá que coincidir con texto en el nombre o la ruta de los módulos Metasploit que corresponde a él, lo que significa que tendrá que haber un montón de trabajo inicial para hacer que esta herramienta funcione contra cualquier otra cosa que no sea Objetivos habituales de Web y MySQL.

AutoSploit ofrece la guía mínima básica para ingresar a un consulta:

Proporcione la consulta de búsqueda específica de su plataforma. ES DECIR.  'IIS' devolverá una lista de IP que pertenecen a servidores IIS 

Por supuesto, al ingresar “IIS” también obtendrá más de cinco millones de resultados, por lo que esto puede llevar un tiempo. Para cada resultado, el el script escribirá la dirección del Protocolo de Internet del sistema a un archivo llamado “hosts.txt”.

Y eso es todo por la interfaz Shodan. La siguiente parte es bombear esos datos en Metasploit. Usando el texto que se utilizó para Shodan search, el guión encuentra las líneas en un archivo de texto llamado modules.txt (que debe personalizarse en función del contenido de la biblioteca de módulos) y los vuelca en una lista ordenada. Alternativamente, el usuario puede intentar ejecutarlos todos con eso Opción “Ave María”.

Antes de que el script pueda ejecutar cualquier exploit, debe asegurarse de que Metasploit Framework y sus componentes necesarios, incluido el Base de datos PostgreSQL: se está ejecutando. Lo hace ejecutando algunos shell ordena y presenta estos como “Hueristics” [sic]:

postgresql = cmdline ("sudo service postgresql status | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] Advertencia. La huerística indica que el servicio Postgresql es desconectado"

Si todo funciona, el script iniciará Metasploit ataques contra todos los hosts en el archivo de texto previamente escrito. Esto puede llevar un tiempo, y si se realiza desde casa, podría resultar en una visita de la policía.

“Si alguien está preocupado por esto”, investigador Kevin Beaumont dijo: “su modelo de amenaza se derrumba cuando los niños se aburren corriendo Python scripts “.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: