تهديد أم تهديد؟ أداة “Autosploit” تثير المخاوف من “kiddies النصي” تمكين

تثيرتكبير الصور / صور غيتي

الأدوات المستخدمة من قبل الباحثين الأمن ، اختبار الاختراق ، و غالبًا ما تثير “الفرق الحمراء” جدلاً لأنها تجمع معًا ، والأتمتة ، والهجمات إلى درجة تجعل بعض غير مريحة ، و في كثير من الأحيان ، ينتهي الأمر بهذه الأدوات في الحصول على مجموعات منها مع أقل متابعة النبلاء. AutoSploit ، أداة جديدة أصدرتها أ “متحمس الأمن السيبراني” قد فعل أكثر من إثارة الجدل ، ومع ذلك ، من خلال الجمع بين اثنين من الأدوات المعروفة في التلقائي آلة الصيد والقرصنة – بنفس طريقة الأشخاص بالفعل يمكن مع ساعة أو ساعتين من النصوص لصق النسخ معا.

الأطراف الخبيثة لديها أسلحة المسح المرافق ، والشبكة الأوامر ، وأدوات الأمن مع أشكال مختلفة من الأتمتة قبل. بواسطة أدوات “اختبار الإجهاد” مثل “المدار المنخفض أيون المدفع” (LOIC) ، المدار العالي أيون المدفع (مكتوب في RealBasic!) ، و موقع الإجهاد Lizard Squad مدعوم من أجهزة توجيه Wi-Fi اختراق ، هم استغرق مآثر معروفة جيدا لمحترفي الأمن وتحويلها إلى أسلحة سياسية واقتصادية. فعلت ميراي الروبوتات الشيء نفسه مع أجهزة إنترنت الأشياء ، بناء أداة هجوم ذاتية الانتشار بناءً على الثغرات الموثقة جيدًا في الأجهزة المتصلة.

AutoSploit أكثر تعقيدًا قليلاً ولكن فقط لأنه يستفيد من أداتين أمان رائعتين ومدعمتين بشكل جيد. “الاسم قد توحي ، “كتب مؤلفها على صفحة الأداة جيثب ، “يحاول AutoSploit أتمتة استغلال المضيفين البعيدين.” للقيام بذلك ، يستخدم البرنامج النصي Python واجهات سطر الأوامر والنص ملفات لاستخراج البيانات من قاعدة بيانات Shodan ، وهو البحث المحرك الذي ينقر على مسح البيانات على ملايين من متصل بالإنترنت الأنظمة. AutoSploit ثم يقوم بتشغيل أوامر shell لتنفيذ Metasploit اختبار اختراق الإطار.

أنا فقط أصدرت AutoSploit على #Github. # بيثون كتلة مقرها # استغلال # أداة. يجمع الأهداف عبر # السودان وتلقائيا يستدعي #Metasploit وحدات مختارة لتسهيل # RCE.https: //t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ

– VectorSEC (Real__Vector) 30 يناير ، 2018

بالإضافة إلى تشغيل وحدات Metasploit الفردية المصممة خصيصًا لـ نوع الهدف ، يمكن للبرنامج النصي أيضا إطلاق “حائل هجمات ماري “- رمي كل وحدة متوفرة لـ Metasploit إطار في كل هدف. لذلك ، في الأساس ، AutoSploit كتلة أداة هجوم ذات قدرات استهداف محدودة.

أثار إطلاق الأداة على جيثب صرخة من مشاغبو الأمن الذين كانوا قلقين من استغلال شودان من شأنه أن يعطي الأداة القدرة على استغلال الشامل الآلاف من أجهزة إنترنت الأشياء الضعيفة (IoT) مثل الروبوتات Mirai فعلت العام الماضي. ريتشارد Bejtlich من TaoSecurity شجب أداة على تويتر ، قائلا ، “ليست هناك حاجة للافراج عن هذا. التعادل لشودان يضعه على الحافة. لا يوجد سبب مشروع ل وضع الاستغلال الشامل للنظم العامة في متناول النصي كيديس “.

في موضوع محادثة آخر على تويتر ، باحث الأمن وافق اميت سيربر. “المآثر التي اكتشفتها وكشفت عنها هي تستخدم الآن لتشغيل الروبوتات العملاقة. إعطاء النصي كيديز القدرة على امتلاك مئات الآلاف من الأجهزة هي فكرة سيئة. ”

ومع ذلك ، فإن انفجار الغضب الأخلاقي على هذا جزء معين من شفرة – ما يزيد قليلاً عن 400 سطر من بيثون تنفق معظمها على دفع الأوامر سلاسل إلى Shodan API أو إلى سطر أوامر Metasploit واجهة – يبدو قليلا من مكان لعدد من الأسباب — بما في ذلك حقيقة أن الكود لا يفعل شيئًا من أقصر بكثير ، يمكن أن تفعل البرامج النصية أبسط بشكل أفضل.

إلى حد ما ، هذه الصرخة هي تكرار للجدل الذي ولدت Metasploit وشودان من تلقاء نفسها منذ عقد من الزمان. إلى ذلك الوقت ، عندما H.D. أصدر مور إطار Metasploit ، بعض اعتقد الناس أنها ذهبت بعيدا جدا. والعودة في عام 2009 ، TaoSecurity وقال Bejtlich أن Shodan كان “عدة خطوات على طول التسلل كما مسار خدمة (IaaS) “وتوقع أن تختفي.

وقد تلاشى هذا الجدل في الغالب. Metasploit هو الآن مدعوم احترافيًا من قبل شركة البرامج الأمنية Rapid7 وقد تم استخدامها من قبل المتخصصين في الأمن وإنفاذ القانون (كما كذلك من قبل الآخرين مع نوايا أقل النبيلة). وشودان الآن يوفر الوصول المدفوع لأحجام كبيرة من الاستفسارات من خلال البرمجة مفاتيح الواجهة — بينما يقدم البعض أدوات علنية للتحقق من الجودة من مفاتيح Shodan كشط من الويب. (“يمكنك إيجاد مفاتيح PeopleAPI في جميع أنحاء ‘Net، yo. “)

حتى لو حاول AutoSploit دمج هذه الأدوات في شيء ما أكثر روعة (والتي ، استنادا إلى مراجعتنا للرمز ، فإنه يفعل لا يعمل بشكل جيد جدًا) ، إنه لا يفعل أي شيء ممكن لمدة عقد تقريبا. دان تينتلر ، مؤسس مجموعة فوبوس ، وقال أنه يعتقد كل الخوف والغضب على AutoSploit كان في غير محله. “لقد أجريت محادثات حول كيفية ضخ شودان في حائل وقال ماري ميزة من الكوبالت سترايك ما يقرب من 10 عاما ، “في الوقت ، سقط على آذان صماء. لا يبدو أن الناس يهتمون “.

إذا كان أي شيء ، يوضح AutoSploit كيفية الوصول إلى “cyber المتحمسين “من جميع المشارب الأدوات الموجودة هي – وأنها أصبحت بهذه الطريقة بسبب مطالب المنظمات التي تستخدم أدوات داخليا. “سنستمر في رؤية هذه المشكلة تظهر نستمر في خفض الأمن وجعلها سهلة للغاية للناس “لا يفهمون الكمبيوتر” ، قال تينتلر.

كود الحديث

AutoSploit هو أداة حادة للغاية. بسبب الطريقة التي بأتمتة كل من Shodan و Metasploit ، والقدرة على أن تكون إلى حد ما من الصعب إرضاءه عن الأهداف التي تم تحديدها محدودة للغاية. أيا كانت سلسلة البحث التي يتم تشغيلها ضد Shodan ، فسوف يتعين عليها أن تطابق مع النص في اسم أو مسار وحدات Metasploit ذلك تتوافق مع ذلك – مما يعني أنه يجب أن يكون هناك الكثير مقدما العمل لجعل هذه الأداة تعمل ضد أي شيء آخر غير أهداف الويب و MySQL المعتادة.

AutoSploit يقدم الحد الأدنى من التوجيهات العارية عند الدخول إلى الاستعلام:

الرجاء تقديم استعلام بحث خاص بالنظام الأساسي بمعنى آخر.  "IIS" سيعيد قائمة عناوين IP التي تنتمي إلى خوادم IIS 

بالطبع ، سيؤدي إدخال “IIS” إلى حصولك على أكثر من خمسة مليون النتائج ، لذلك قد يستغرق هذا بعض الوقت. لكل نتيجة ، و سوف يكتب البرنامج النصي عنوان بروتوكول الإنترنت الخاص بالنظام إلى ملف يسمى “hosts.txt”.

وهذا كل شيء لواجهة Shodan. الجزء التالي هو ضخ تلك البيانات في Metasploit. باستخدام النص الذي تم استخدامه ل البحث Shodan ، البرنامج النصي يجد الأسطر في ملف نصي يسمى modules.txt (الذي يحتاج إلى تخصيص بناءً على محتويات مكتبة الوحدة النمطية) ثم تفريغها في قائمة مرتبة. بدلاً من ذلك ، يمكن للمستخدم فقط محاولة تشغيل كل ذلك باستخدام ذلك خيار “السلام عليك يا مريم”.

قبل أن يتمكن البرنامج النصي من تشغيل أي استغلال ، يجب عليه التأكد من إطار Metasploit ومكوناته المطلوبة – بما في ذلك قاعدة بيانات PostgreSQL- تعمل. يفعل ذلك عن طريق تشغيل عدد قليل من قذيفة أوامر ويعرض هذه كـ “علم القياس” [كذا]:

postgresql = cmdline ("sudo service postgresql status | grep active") if "Active: inactive" in postgresql: print "\n[" +t.red ("!") + "] تحذير. تشير الأساليب إلى أن خدمة Postgresql هي غير متصل على الانترنت"

إذا كان كل شيء يعمل ، فسوف يبدأ البرنامج النصي في تشغيل Metasploit الهجمات ضد جميع المضيفين في الملف النصي المكتوب مسبقًا. قد يستغرق هذا بعض الوقت – وإذا تم إجراؤه من المنزل ، فقد ينتج عنه في زيارة من إنفاذ القانون.

“إذا كان أي شخص يشعر بالقلق إزاء هذا” ، الباحث كيفن بومونت قال ، “نموذج التهديد الخاص بك ينهار في الاطفال يجري بالملل على التوالي مخطوطات بايثون. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: