宅客频道消息，据外媒 Security Affairs 近日报道，在效率优先的现代社会，一切事物都要向自动化靠拢，就连彰显从前彰显“手速”的黑客工具也自动化了。对，你没听错，一款名为 Autosploit 的黑客工具已经可利用 Shodan.io API 自动收集目标并渗透进远程主机了。如果有这款工具在手，业余黑客也能“大显身手”了。

这款自动化黑客工具的用户可以定义 Apache 和 IIS 等网页服务器的平台搜索查询，进而搜集要攻击的目标。完成目标搜集后，该工具会利用 Metasploit 模块渗透进他人主机。

该黑客工具选择 Metasploit 模块也是有讲究的，它会根据模块名字的对比和查询检索来决定到底用哪个 Metasploit 模块。开发者还增加了一种攻击类型，它们会一次用上所有模块。笔者在研究时发现，开发者用上 Metasploit 模块主要是协助实施远程代码执行，并获得逆向 TCP/Shells 或者Meterpreter 会话。

▲Autosploit 的工具界面

各路安全专家对该工具的发布有不同的看法。Plixer 公司战略关系和营销总监 Bob Noel 就指出：

展开全文

“从恶意代码或攻击向量的角度来看，AutoSploit 并没有带来什么新东西。它真正的意义在于给那些菜鸟黑客们带来了福音，有了这款工具他们也能带来些实质性的损害了。一旦被激活，其脚本就会自动化整个寻找漏洞设备和发起攻击的过程。被渗透的设备还能用来攻击网络实体、加密货币挖矿机或加入僵尸网络发动 DDos 攻击。这类工具的发布让更多黑客掌握了随意发动全球性网络攻击的能力，提高了威胁等级。”

Acalvio 公司的首席安全架构师 Chris Roberts 则认为：

“那些毛头黑客们并没有变的更危险，因为他们本就够疯狂了。我们只是给了他们一种更新、更简单且更炫酷的方法来利用那些暴露已久的漏洞。也许我们真正要做的是修复破败的地基，而不是哪里漏了去堵哪里。”

宅客频道了解到，最近黑客利用 Shodan 远程访问成人玩具的事情就给我们敲响了警钟，这款工具真能带来巨大且严重的危险。

其实，即使这款工具没有面世，这样的危险也一直存在。Tenable 的技术主管 Gavin Millard 就表示：

“大多数组织或机构应该对自己的网络风险有个清醒的认识，找出那些容易被自动化工具利用的问题。如果之前没行动起来，就应该以此为契机，在被黑客打个措手不及前及时修复漏洞。”

Cyxtera 副总裁 Jason Garbis 就给出了自己的建议。“为了自我保护，组织和机构需要清晰准确且及时的列出自己‘暴露’在互联网上的每一项服务。随后安全团队就得综合所有内部工具和外部系统（如 Shodan），保证菜鸟黑客们不会发现自己的软肋。”

宅客频道Via. Security Affairs

▼▼▼

---