Abo
  • Services:

Shodan + Metasploit: Autosploit macht Hacken kinderleicht und gefährlich

Automatisiertes Hacken, fast wie im Film: Das soll mit Autosploit möglich sein. Doch das neue Python-Skript birgt vor allem für unerfahrene Nutzer Gefahren.

Artikel veröffentlicht am ,
Autosploit lädt automatisch Metersploit-Module.
Autosploit lädt automatisch Metersploit-Module. (Bild: Github.com/Screenshot)

Ein neues Werkzeug zum automatischen Ausnutzen von Sicherheitslücken sorgt derzeit für Diskussionen unter Sicherheitsforschern. Unter dem Benutzernamen NullArray ist auf Github das Tool Autosploit erschienen, das die IoT-Suchmaschine Shodan mit dem Metasploit-Framework verbinden soll. Damit können Sicherheitslücken automatisch ausgenutzt werden. Nach Angaben des Autors liegt der Fokus darauf, Code auf den übernommenen Geräten ausführen zu können ("remote code execution", RCE), Reverse-Shells oder Meterpreter-Sitzungen.

Stellenmarkt
  1. Waldorf Frommer Rechtsanwälte, München
  2. PARI Pharma GmbH, Gräfelfing

Nutzer der Software können eine Shodan-Suche starten und eine bestimmte Plattform in den Blick nehmen, also etwa Apache oder die Internet Information Services von Microsoft. Ein weiterer Befehl startet dann die automatischen Angriffe. Dabei soll das Skript automatisch die richtigen Metasploit-Module heraussuchen. Letztlich werden hier bekannte Auffindungs- und Angriffsszenarien mit einem Python-Skript kombiniert. Das könnte - ähnlich wie der umstrittene Bricker-Bot - dazu führen, dass mehr unsichere IoT-Geräte aus dem Netz genommen werden, auch wenn der Einsatz entsprechender Software natürlich illegal ist.

Unerfahrene Nutzer bringen sich in Gefahr

Das könnte auch das größte Problem des Skripts sein. Weil weder Metasploit konfiguriert werden muss noch erweiterte IT-Kenntnisse notwendig sind, könnten unerfahrene Nutzer nach dem Einsatz von Autosploit Probleme bekommen, wenn sie ihre normale Internetverbindung verwenden oder sich nicht anderweitig tarnen. Ähnliche Probleme hatte es in der Vergangenheit nach dem Einsatz der Low-Orbit-Ion-Cannon (Loic) und Anonymous-Aktivismus gegeben.

Zahlreiche Sicherheitsforscher und Technik-Journalisten kommentieren die Veröffentlichung von Autosploit daher kritisch. Der größte Unterschied zu Metasploit dürfte sein, dass das Werkzeug in der Regel von professionellen Pentestern in kontrollierten Umgebungen eingesetzt wird - obwohl der Missbrauch der Angriffsmodule natürlich grundsätzlich möglich ist und auch praktiziert wird.

Es gibt ein namensgleiches Tool von OWASP, dieses hat mit dem kürzlich veröffentlichten Autosploit bis auf den Namen aber nichts gemein.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

Rufus20 02. Feb 2018

Zum lernen musst du das Script nicht einsetzen. Dafür ist der Source Code da.

i1798577 01. Feb 2018

mach->macht


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

      •  /