上周,名為Vector研究人員在GitHub上發布了一款極具爭議性的工具“Autosploit”,由于這款工具結合了“最可怕的搜索引擎”Shodan和開源滲透測試工具Metasploit,就連業余黑客也能借助該工具輕松入侵易受攻擊的IoT設備。
安全研究人員、滲透測試人員和“紅隊”(Red Team)使用的工具常常引發爭議,因為他們將此類工具進行組合,將其自動化。而別有用心的人也會利用這些攻擊發起惡意攻擊企圖。AutoSploit就是一款自動化利用遠程主機的工具,它能自動發現易受攻擊的IoT設備,然后自動利用漏洞向目標發起攻擊。
AutoSploit運作原理
AutoSploit是基于Python2.7的腳本,使用Shodan.io API自動收集目標,Metasploit模塊有助于實施遠程代碼執行,并獲得逆向TCP/Shells或者Metasploit對話。
Vectra的安全分析負責人克里斯·莫拉萊斯解釋稱,Metasploit降低了黑客實施入侵的技能門檻,Shodan則可搜索任何暴露在互聯網上的聯網設備(電腦、服務器、工業設備、打印機、路由器、攝像頭以及其他類型的物聯網設備),將這兩種高度自動化工具相結合大大降低了黑客入侵的門檻,Autosploit使入侵變得極其容易。這款工具令他非常擔心IoT安全, 據他預測,將會有一大波IoT DoS攻擊和加密貨幣挖礦活動洶涌而至。惡意攻擊者只需編輯所使用的modules.txt文件,便能添加更多模塊。
信息安全圈的反響
公開這款工具的代碼在信息安全界引起大量關注。大多數信息安全從業人員不禁感嘆,這款攻擊簡直是腳本小子的福音,甚至有人認為完全可以將AutoSploit視為惡意軟件。
盡管每款工具都具有正面和負面用途,但AutoSploit的用途更可能是后者。
Errata Security的首席執行官羅勃·格雷漢姆表示,發布AutoSploit對網絡安全而言是好事一樁。能使腳本小子更易實施入侵的工具也就意味著,遭遇入侵的系統經修復后不會有太大的實際損害,而此類系統不易遭受資源雄厚的網絡犯罪分子和國家攻擊者的攻擊。
無論持哪種意見,而事實就是,代碼已被公開,已被很多人“收藏”。
京公網安備 11010502049343號