«Script kiddies» er et ganske nedsettende uttrykk som brukes om personer som uten spesielle ferdigheter bruker ferdig konfigurerte verktøy til å hacke seg inn hos andre.
Nå har det kommet et nytt og tilsynelatende ganske kraftig verktøy som kan gi slike ondsinnede personer muligheter til å gjøre enda mer skade. Verktøyet kalles for Autosploit og ble utgitt tirsdag denne uken av en person som på Twitter kaller seg for VectorSEC.
Shodan og Metasploit
Verktøyet kombinerer to allerede godt kjente verktøy som brukes til både kyberangrep og forsvar mot slike. Det ene er søkemotoren Shodan, som kan brukes til å finne internettilknyttede enheter med kjente sårbarheter.
Det andre er Metasploit, som er et mye brukt verktøy for penetrasjonstesting. Det kan dermed også brukes til å utføre virkelige angrep, da verktøyets moduler til sammen inneholder omtrent det som finnes av kjent angrepskode.
Nesten helautomatisert
Autosploit åpner ikke for annet enn å finne sårbare enheter og å bruke Metasploit-moduler til å utføre angrep mot disse. Men det hele kan gjøres nesten helautomatisk ved hjelp av få tastetrykk. Det meste krevende er trolig å installere det Python-baserte verktøyet.
Det er mulig å bruke Autosploit i mer rettede angrep også, ved å velge ut spesifikke plattformer eller IP-adresser. Dessuten kan man velge om det skal brukes spesifikke Metasploit-moduler, eller om det skal utføres et «Hail Mary»-angrep, hvor samtlige Metasploit-moduler tas i bruk i angrepet på hver av enhetene.
Både ros og bekymring
Selv om VectorSEC har fått en del ros for utgivelsen, er det også mange som stiller seg kritiske til utgivelsen og spør hvilken nytteverdi den potensielt har for legitime brukere.
Why would you write this? It serves no legitimate security purpose, it is just malware.
— Andrew Cole (@colemination) January 31, 2018
Andre mener at Autosploit egentlig kommer med lite nytt, og at IT-sikkerhetsfolk uansett burde være forberedt på at noe slikt ville komme.
Why is this different from metasploit, powershell empire or any other framework that a 16 year old can use to bring down an average organization to its knees... Our industry is fuc**d up. We share weapons and write "not for evil" thinking it's a legit disclaimer...
— David Warshavski (@DWarshavski) January 31, 2018
If anybody is concerned about this, your threat model collapses at kids being bored running python scripts. Automated break ins to lateral movement to internal cryptoware and ransomware to $$$ is coming. https://t.co/ersnp47Qdi
— Kevin Beaumont (@GossiTheDog) 31. januar 2018
Nå som verktøyet er ute, er det uansett ingen vei tilbake. Verktøyet innebærer trolig at flere vil være i stand til å utføre brede angrep.
Viktigheten av å installere sikkerhetsoppdateringer med jevne og korte mellomrom, har i alle fall ikke blitt mindre med dette. Trolig kan man dra det så langt som å si at enheter som ikke jevnlig mottar sikkerhetsoppdateringer, bør kobles fra internett.
