• IT-Karriere:
  • Services:

Shodan + Metasploit: Autosploit macht Hacken kinderleicht und gefährlich

Automatisiertes Hacken, fast wie im Film: Das soll mit Autosploit möglich sein. Doch das neue Python-Skript birgt vor allem für unerfahrene Nutzer Gefahren.

Artikel veröffentlicht am ,
Autosploit lädt automatisch Metersploit-Module.
Autosploit lädt automatisch Metersploit-Module. (Bild: Github.com/Screenshot)

Ein neues Werkzeug zum automatischen Ausnutzen von Sicherheitslücken sorgt derzeit für Diskussionen unter Sicherheitsforschern. Unter dem Benutzernamen NullArray ist auf Github das Tool Autosploit erschienen, das die IoT-Suchmaschine Shodan mit dem Metasploit-Framework verbinden soll. Damit können Sicherheitslücken automatisch ausgenutzt werden. Nach Angaben des Autors liegt der Fokus darauf, Code auf den übernommenen Geräten ausführen zu können ("remote code execution", RCE), Reverse-Shells oder Meterpreter-Sitzungen.

Stellenmarkt
  1. Gasnetz Hamburg GmbH, Hamburg
  2. Bechtle AG, Bonn

Nutzer der Software können eine Shodan-Suche starten und eine bestimmte Plattform in den Blick nehmen, also etwa Apache oder die Internet Information Services von Microsoft. Ein weiterer Befehl startet dann die automatischen Angriffe. Dabei soll das Skript automatisch die richtigen Metasploit-Module heraussuchen. Letztlich werden hier bekannte Auffindungs- und Angriffsszenarien mit einem Python-Skript kombiniert. Das könnte - ähnlich wie der umstrittene Bricker-Bot - dazu führen, dass mehr unsichere IoT-Geräte aus dem Netz genommen werden, auch wenn der Einsatz entsprechender Software natürlich illegal ist.

Unerfahrene Nutzer bringen sich in Gefahr

Das könnte auch das größte Problem des Skripts sein. Weil weder Metasploit konfiguriert werden muss noch erweiterte IT-Kenntnisse notwendig sind, könnten unerfahrene Nutzer nach dem Einsatz von Autosploit Probleme bekommen, wenn sie ihre normale Internetverbindung verwenden oder sich nicht anderweitig tarnen. Ähnliche Probleme hatte es in der Vergangenheit nach dem Einsatz der Low-Orbit-Ion-Cannon (Loic) und Anonymous-Aktivismus gegeben.

Zahlreiche Sicherheitsforscher und Technik-Journalisten kommentieren die Veröffentlichung von Autosploit daher kritisch. Der größte Unterschied zu Metasploit dürfte sein, dass das Werkzeug in der Regel von professionellen Pentestern in kontrollierten Umgebungen eingesetzt wird - obwohl der Missbrauch der Angriffsmodule natürlich grundsätzlich möglich ist und auch praktiziert wird.

Es gibt ein namensgleiches Tool von OWASP, dieses hat mit dem kürzlich veröffentlichten Autosploit bis auf den Namen aber nichts gemein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Intel Core i3-10300 tray für 109,90€ + 6,99€ Versand)
  2. (u. a. FIFA 21 Points)
  3. 379€ (Vergleichspreis 471,26€)

Rufus20 02. Feb 2018

Zum lernen musst du das Script nicht einsetzen. Dafür ist der Source Code da.

i1798577 01. Feb 2018

mach->macht


Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Notebook-Displays: Tschüss 16:9, hallo 16:10!
Notebook-Displays
Tschüss 16:9, hallo 16:10!

Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
Ein IMHO von Marc Sauter

  1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
  2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
  3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

    •  /