Abo
  • IT-Karriere:

Shodan + Metasploit: Autosploit macht Hacken kinderleicht und gefährlich

Automatisiertes Hacken, fast wie im Film: Das soll mit Autosploit möglich sein. Doch das neue Python-Skript birgt vor allem für unerfahrene Nutzer Gefahren.

Artikel veröffentlicht am ,
Autosploit lädt automatisch Metersploit-Module.
Autosploit lädt automatisch Metersploit-Module. (Bild: Github.com/Screenshot)

Ein neues Werkzeug zum automatischen Ausnutzen von Sicherheitslücken sorgt derzeit für Diskussionen unter Sicherheitsforschern. Unter dem Benutzernamen NullArray ist auf Github das Tool Autosploit erschienen, das die IoT-Suchmaschine Shodan mit dem Metasploit-Framework verbinden soll. Damit können Sicherheitslücken automatisch ausgenutzt werden. Nach Angaben des Autors liegt der Fokus darauf, Code auf den übernommenen Geräten ausführen zu können ("remote code execution", RCE), Reverse-Shells oder Meterpreter-Sitzungen.

Stellenmarkt
  1. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  2. Pongs Technical Textiles GmbH, Düsseldorf, Pausa-Mühltroff

Nutzer der Software können eine Shodan-Suche starten und eine bestimmte Plattform in den Blick nehmen, also etwa Apache oder die Internet Information Services von Microsoft. Ein weiterer Befehl startet dann die automatischen Angriffe. Dabei soll das Skript automatisch die richtigen Metasploit-Module heraussuchen. Letztlich werden hier bekannte Auffindungs- und Angriffsszenarien mit einem Python-Skript kombiniert. Das könnte - ähnlich wie der umstrittene Bricker-Bot - dazu führen, dass mehr unsichere IoT-Geräte aus dem Netz genommen werden, auch wenn der Einsatz entsprechender Software natürlich illegal ist.

Unerfahrene Nutzer bringen sich in Gefahr

Das könnte auch das größte Problem des Skripts sein. Weil weder Metasploit konfiguriert werden muss noch erweiterte IT-Kenntnisse notwendig sind, könnten unerfahrene Nutzer nach dem Einsatz von Autosploit Probleme bekommen, wenn sie ihre normale Internetverbindung verwenden oder sich nicht anderweitig tarnen. Ähnliche Probleme hatte es in der Vergangenheit nach dem Einsatz der Low-Orbit-Ion-Cannon (Loic) und Anonymous-Aktivismus gegeben.

Zahlreiche Sicherheitsforscher und Technik-Journalisten kommentieren die Veröffentlichung von Autosploit daher kritisch. Der größte Unterschied zu Metasploit dürfte sein, dass das Werkzeug in der Regel von professionellen Pentestern in kontrollierten Umgebungen eingesetzt wird - obwohl der Missbrauch der Angriffsmodule natürlich grundsätzlich möglich ist und auch praktiziert wird.

Es gibt ein namensgleiches Tool von OWASP, dieses hat mit dem kürzlich veröffentlichten Autosploit bis auf den Namen aber nichts gemein.



Anzeige
Top-Angebote
  1. 95,00€
  2. (u. a. Powerbanks ab 22,49€, 5-Port-Powerport für 26,39€)
  3. 53,99€ (Release am 27. August)
  4. ab 349,00€ (für 49-Zoll 4K UHD)

Rufus20 02. Feb 2018

Zum lernen musst du das Script nicht einsetzen. Dafür ist der Source Code da.

i1798577 01. Feb 2018

mach->macht


Folgen Sie uns
       


Huawei P30 Pro - Test

5fach-Teleobjektiv und lichtstarker Sensor - das Huawei P30 Pro hat im Moment die beste Smartphone-Kamera.

Huawei P30 Pro - Test Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


      •  /