黑基Web安全攻防班
黑基网 首页 资讯 安全报 查看内容

自动化黑客工具Autosploit公开,大批IoT设备或将遭殃

2018-2-6 12:57| 投稿: lofor |来自: 互联网

摘要: 上周,名为Vector研究人员在GitHub上发布了一款极具争议性的工具“Autosploit”,由于这款工具结合了“最可怕的搜索引擎”Shodan和开源渗透测试工具Metasploit,就连业余黑客也能借助该工具轻松入侵易受攻击的IoT设 ...

上周,名为Vector研究人员在GitHub上发布了一款极具争议性的工具“Autosploit”,由于这款工具结合了“最可怕的搜索引擎”Shodan和开源渗透测试工具Metasploit,就连业余黑客也能借助该工具轻松入侵易受攻击的IoT设备。

安全研究人员、渗透测试人员和“红队”(Red Team)使用的工具常常引发争议,因为他们将此类工具进行组合,将其自动化。而别有用心的人也会利用这些攻击发起恶意攻击企图。AutoSploit就是一款自动化利用远程主机的工具,它能自动发现易受攻击的IoT设备,然后自动利用漏洞向目标发起攻击。

AutoSploit运作原理

AutoSploit是基于Python2.7的脚本,使用Shodan.io API自动收集目标,Metasploit模块有助于实施远程代码执行,并获得逆向TCP/Shells或者Metasploit对话。

Vectra的安全分析负责人克里斯·莫拉莱斯解释称,Metasploit降低了黑客实施入侵的技能门槛,Shodan则可搜索任何暴露在互联网上的联网设备(电脑、服务器、工业设备、打印机、路由器、摄像头以及其他类型的物联网设备),将这两种高度自动化工具相结合大大降低了黑客入侵的门槛,Autosploit使入侵变得极其容易。这款工具令他非常担心IoT安全, 据他预测,将会有一大波IoT DoS攻击和加密货币挖矿活动汹涌而至。恶意攻击者只需编辑所使用的modules.txt文件,便能添加更多模块。

信息安全圈的反响

公开这款工具的代码在信息安全界引起大量关注。大多数信息安全从业人员不禁感叹,这款攻击简直是脚本小子的福音,甚至有人认为完全可以将AutoSploit视为恶意软件。

尽管每款工具都具有正面和负面用途,但AutoSploit的用途更可能是后者。

Errata Security的首席执行官罗勃·格雷汉姆表示,发布AutoSploit对网络安全而言是好事一桩。能使脚本小子更易实施入侵的工具也就意味着,遭遇入侵的系统经修复后不会有太大的实际损害,而此类系统不易遭受资源雄厚的网络犯罪分子和国家攻击者的攻击。
无论持哪种意见,而事实就是,代码已被公开,已被很多人“收藏”。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部