自动化黑客工具Autosploit公开,大批IoT设备或将遭殃
名为 Vector 的研究人员近日在 GitHub 上发布了一款极具争议性的工具"Autosploit",由于这款工具结合了"最可怕的搜索引擎"Shodan和开源渗透测试工具Metasploit,就连业余黑客也能借助该工具轻松入侵易受攻击的IoT设备。
名为 Vector 的研究人员近日在 GitHub 上发布了一款极具争议性的工具"Autosploit",由于这款工具结合了"最可怕的搜索引擎"Shodan和开源渗透测试工具Metasploit,就连业余黑客也能借助该工具轻松入侵易受攻击的IoT设备。
安全研究人员、渗透测试人员和"红队"(Red Team)使用的工具常常引发争议,因为他们将此类工具进行组合,将其自动化。而别有用心的人也会利用这些攻击发起恶意攻击企图。AutoSploit 就是一款自动化利用远程主机的工具,它能自动发现易受攻击的 IoT 设备,然后自动利用漏洞向目标发起攻击。
AutoSploit运作原理
AutoSploit 是基于 Python2.7的脚本,使用 Shodan.io API 自动收集目标,Metasploit模块有助于实施远程代码执行,并获得逆向 TCP/Shells 或者Metasploit 对话。
Vectra的安全分析负责人克里斯·莫拉莱斯解释称,Metasploit 降低了黑客实施入侵的技能门槛,Shodan 则可搜索任何暴露在互联网上的联网设备(电脑、服务器、工业设备、打印机、路由器、摄像头以及其他类型的物联网设备),将这两种高度自动化工具相结合大大降低了黑客入侵的门槛,Autosploit 使入侵变得极其容易。这款工具令他非常担心 IoT安全, 据他预测,将会有一大波 IoT DoS 攻击和加密货币挖矿活动汹涌而至。恶意攻击者只需编辑所使用的 modules.txt 文件,便能添加更多模块。
信息安全圈的反响
公开这款工具的代码在信息安全界引起大量关注。大多数信息安全从业人员不禁感叹,这款攻击简直是脚本小子的福音,甚至有人认为完全可以将 AutoSploit 视为恶意软件。
尽管每款工具都具有正面和负面用途,但 AutoSploit 的用途更可能是后者。
Errata Security 的首席执行官罗勃·格雷汉姆表示,发布 AutoSploit 对网络安全而言是好事一桩。能使脚本小子更易实施入侵的工具也就意味着,遭遇入侵的系统经修复后不会有太大的实际损害,而此类系统不易遭受资源雄厚的网络犯罪分子和国家攻击者的攻击。
无论持哪种意见,而事实就是,目前代码已被公开,已被很多人"收藏"。
安全研究人员、渗透测试人员和"红队"(Red Team)使用的工具常常引发争议,因为他们将此类工具进行组合,将其自动化。而别有用心的人也会利用这些攻击发起恶意攻击企图。AutoSploit 就是一款自动化利用远程主机的工具,它能自动发现易受攻击的 IoT 设备,然后自动利用漏洞向目标发起攻击。
AutoSploit运作原理
AutoSploit 是基于 Python2.7的脚本,使用 Shodan.io API 自动收集目标,Metasploit模块有助于实施远程代码执行,并获得逆向 TCP/Shells 或者Metasploit 对话。
Vectra的安全分析负责人克里斯·莫拉莱斯解释称,Metasploit 降低了黑客实施入侵的技能门槛,Shodan 则可搜索任何暴露在互联网上的联网设备(电脑、服务器、工业设备、打印机、路由器、摄像头以及其他类型的物联网设备),将这两种高度自动化工具相结合大大降低了黑客入侵的门槛,Autosploit 使入侵变得极其容易。这款工具令他非常担心 IoT安全, 据他预测,将会有一大波 IoT DoS 攻击和加密货币挖矿活动汹涌而至。恶意攻击者只需编辑所使用的 modules.txt 文件,便能添加更多模块。
信息安全圈的反响
公开这款工具的代码在信息安全界引起大量关注。大多数信息安全从业人员不禁感叹,这款攻击简直是脚本小子的福音,甚至有人认为完全可以将 AutoSploit 视为恶意软件。
尽管每款工具都具有正面和负面用途,但 AutoSploit 的用途更可能是后者。
Errata Security 的首席执行官罗勃·格雷汉姆表示,发布 AutoSploit 对网络安全而言是好事一桩。能使脚本小子更易实施入侵的工具也就意味着,遭遇入侵的系统经修复后不会有太大的实际损害,而此类系统不易遭受资源雄厚的网络犯罪分子和国家攻击者的攻击。
无论持哪种意见,而事实就是,目前代码已被公开,已被很多人"收藏"。
评论9次
https://github.com/NullArray/AutoSploit
去体验,去感受一下
感谢表哥分享 有时间去试验一下
这个应该需要shodan的key吧,不然免费的就只有几页结果。
真正有想做的团队 自己做扫描器采集banner去了吧 毕竟能做起来的也不缺带宽资源哦。。。搞个分布式针对性采集...
这个应该需要shodan的key吧,不然免费的就只有几页结果。
6666,开开眼界
666,目测有大佬已经拿python造metasploit的轮子了
GITHUB搜索一下也可以
https://github.com/NullArray/AutoSploit
如果把工具的github附上来就更好了