AgrandirKirillm / Getty Images
Les outils utilisés par les chercheurs en sécurité, les testeurs de pénétration et les “équipes rouges” suscitent souvent la controverse car elles sont regroupées, et automatiser, attaques à un degré qui rend certains inconfortable – et souvent, ces outils finissent par être pliés dans les kits de ceux moins ambitieux.AutoSploit, un nouvel outil mis au point par un “passionné de cybersécurité” a fait plus que susciter la controverse, cependant, en combinant deux outils bien connus dans un système automatique machine de chasse et de piratage informatique – de la même manière que les gens déj� pourrait avec une heure ou deux de copier-coller des scripts ensemble.
Les parties malveillantes ont des utilitaires de numérisation d’armes, des réseaux commandes et outils de sécurité avec diverses formes d’automatisation avant. Par des “tests de résistance” tels que “Canon à ions en orbite basse” (LOIC), High Orbit Ion Cannon (écrit en RealBasic!), Et le Site de stresseur de la Lizard Squad, alimenté par des routeurs Wi-Fi piratés, pris des exploits bien connus des professionnels de la sécurité et les a transformés en armes politiques et économiques. Le botnet Mirai a fait de même avec Dispositifs de l’Internet des objets, construction d’un outil d’attaque à propagation automatique sur la base de vulnérabilités bien documentées dans les appareils connectés.
AutoSploit est légèrement plus sophistiqué mais uniquement parce tire parti de deux outils de sécurité populaires, bien pris en charge. “Comme le nom pourrait suggérer “, son auteur a écrit sur la page GitHub de l’outil, “AutoSploit tente d’automatiser l’exploitation des hôtes distants.” Pour ce faire, le script Python utilise des interfaces de ligne de commande et du texte. fichiers pour extraire des données de la base de données Shodan, qui est une recherche moteur qui exploite des données numérisées sur des millions de personnes connectées à Internet systèmes. AutoSploit exécute ensuite des commandes shell pour exécuter le Metasploit framework de test de pénétration.
Je viens de publier AutoSploit sur #Github. Masse à base de python #exploit #tool. Recueille les cibles via #Shodan et automatiquement invoque les modules #Metasploit sélectionnés pour faciliter # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ
– VectorSEC (@Real__Vector) 30 janvier 2018
En plus d’exécuter des modules individuels Metasploit conçus pour le type de cible, le script peut également lancer automatisé “Hail Mary “attaque-jetant tous les modules disponibles pour le Metasploit cadre à chaque cible. Donc, fondamentalement, AutoSploit est une masse outil d’attaque avec des capacités de ciblage limitées.
La publication de l’outil sur GitHub a provoqué un tollé général. Des gardes de sécurité qui craignaient de puiser dans Shodan donnerait à l’outil la capacité d’exploiter en masse des milliers de des dispositifs vulnérables de l’Internet des objets (IoT) comme le botnet Mirai l’année dernière.Richard Bejtlich de TaoSecurity a décrié le outil sur Twitter, en disant: “Il n’y a pas besoin de libérer cela. La cravate à Shodan le met sur le bord. Il n’y a aucune raison légitime de mettre l’exploitation de masse des systèmes publics à la portée du script les enfants. ”
Dans un autre fil de conversation sur Twitter, chercheur en sécurité Amit Serper a accepté. “Les exploits que j’ai découverts et divulgués sont maintenant utilisé pour exploiter de gigantesques réseaux de zombies. Donner aux script kiddies la La possibilité de posséder des centaines de milliers d’appareils est une mauvaise idée. ”
Cependant, la montée de l’indignation morale sur ce petit morceau de code – un peu plus de 400 lignes de Python ont été principalement consacrées à la commande des chaînes à l’API de Shodan ou à la ligne de commande de Metasploit interface – semble un peu hors de propos pour un certain nombre de raisons – y compris le fait que son code ne fait rien qu’un couple Des scripts beaucoup plus courts et plus simples pourraient faire mieux.
Dans une certaine mesure, ce tollé est une répétition de la controverse Metasploit et Shodan ont généré par eux-mêmes il y a dix ans. À ce heure, quand H.D. Moore a publié le framework Metasploit, certains les gens pensaient que cela allait trop loin. Et en 2009, TaoSecurity’s Bejtlich a déclaré que Shodan était “plusieurs étapes le long de l’intrusion un chemin de service (IaaS) “et prédit qu’il disparaîtrait.
Cette controverse a pour la plupart disparu. Metasploit est maintenant supporté professionnellement par l’éditeur de logiciels de sécurité Rapid7 et a été utilisé par des professionnels de la sécurité et des forces de l’ordre (comme ainsi que par d’autres avec des intentions moins nobles). Et Shodan maintenant offre un accès payant pour de grands volumes de requêtes via la programmation clés d’interface, tandis que certains offrent ouvertement des outils pour vérifier la qualité des clés Shodan extraites du Web. (“Tu peux trouver clés peopleI sur tout le Net, yo. “)
Même si AutoSploit tente d’assembler ces outils en quelque chose plus redoutable (ce qui, d’après notre examen du code, ne ne fait pas très bien), il ne fait rien qui n’ait pas été possible pendant presque une décennie. Dan Tentler, fondateur du groupe Phobos, a déclaré qu’il pensait à la peur et à l’indignation suscitées par AutoSploit était égaré. “J’ai discuté de la façon d’incarcérer Shodan dans la grêle Mary caractéristique de Cobalt Strike il y a près de 10 ans “, a-t-il déclaré. le temps, il est tombé dans l’oreille d’un sourd. Les gens ne semblaient pas s’en soucier. ”
AutoSploit démontre à quel point il est accessible à “cyber” enthousiastes “de tous les types d’outils existants sont-et ils sont devenus De cette façon, à cause des demandes des organisations qui utilisent le outils en interne. “Nous continuerons à voir ce problème émerger comme nous continuons à utiliser la sécurité et à la rendre super facile pour les gens qui ne comprend pas “l’ordinateur” “, a déclaré Tentler.
Code parlant
AutoSploit est un outil extrêmement émoussé. À cause de la façon dont il automatise Shodan et Metasploit, la capacité d’être quelque peu difficile quant aux cibles sélectionnées est sévèrement limité. Quelle que soit la chaîne de recherche exécutée contre Shodan, elle devra correspondre avec du texte dans le nom ou le chemin des modules Metasploit qui correspondent, ce qui signifie qu’il va falloir beaucoup de travail en amont pour faire fonctionner cet outil contre autre chose que le cibles Web et MySQL habituelles.
AutoSploit offre le minimum de conseils pour entrer un requete:
Veuillez fournir votre requête de recherche spécifique à la plate-forme C'EST À DIRE. 'IIS' renverra une liste d'adresses IP appartenant aux serveurs IIS
Bien sûr, entrer “IIS” vous rapportera également plus de cinq millions de résultats, cela peut donc prendre un certain temps. Pour chaque résultat, le le script écrira l’adresse de protocole Internet du système dans un fichier appelé “hosts.txt”.
Et c’est tout pour l’interface Shodan. La prochaine partie pompe ces données dans Metasploit. En utilisant le texte qui a été utilisé pour la Recherche Shodan, le script trouve les lignes dans un fichier texte appelé modules.txt (qui doit être personnalisé en fonction du contenu de la bibliothèque de modules) et les dépose dans une liste triée. Alternativement, l’utilisateur peut simplement essayer de les exécuter tous avec cette Option “Je vous salue Marie”.
Avant que le script puisse exécuter un exploit, il doit s’assurer que le Metasploit Framework et ses composants requis, y compris le Base de données PostgreSQL – sont en cours d’exécution. Il le fait en exécutant quelques shell commandes et présente celles-ci comme “hueristiques” [sic]:
postgresql = cmdline ("statut de postgresql du service sudo | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] Avertissement. Les hueristiques indiquent que le service Postgresql est hors ligne"
Si tout fonctionne, le script lancera Metasploit attaques contre tous les hôtes dans le fichier texte précédemment écrit. Cela peut prendre un certain temps – et si effectué de la maison, il pourrait en résulter lors d’une visite des forces de l’ordre.
“Si quelqu’un est préoccupé par cela”, chercheur Kevin Beaumont “Votre modèle de menace s’effondre devant les enfants qui s’ennuient en courant” Scripts Python. ”
