Katyusha掃描器:基於Telegram的全自動SQL注入工具
本文所要介紹的是一個最近在地下論壇上推出的全新強大的黑客工具,有了它,任何人都可以快速地進入SQL注入漏洞的網站並進行大規模的掃描,而這所有的一切都是使用Telegram來傳遞消息並從智能手機上進行控制的。這款全世界通用的自動化SQLi漏洞掃描器名為Katyusha 掃描器,於今年4月份首次浮出水面,據了解這是一位講俄語的人在一個流行的黑客論壇上發表的。
註:Telegram 是一款主打隱私安全和更純粹的通信的即時通訊軟體,它的背後是俄羅斯最大的社交網路 VKontakte,而其創始人之一 Nikolai Durov 為其設計了全新的傳輸協議,他曾宣稱說只要有任何人成功破解已攔截的通化訊息,他就會提供 20 萬比特幣作為獎金,可見 Telegram 對自己的通信安全是有多自信。
根據研究人員了解,這個工具在地下黑客論壇上的售價僅為500美元。用戶現在甚至可以以200美元的價格租用Katyusha掃描器工具。
Katyusha 掃描器是一個基於Web的工具,它是Arachni掃描儀和基礎的SQL注入工具的組合,能夠使用戶自動識別易受SQLi漏洞攻擊的網站,然後利用漏洞來接管其資料庫。Arachni是一個開源漏洞掃描工具,旨在幫助用戶評估其Web應用程序的安全性。這個工具之所以能脫穎而出其實是因為它的「基礎設施即服務」模式。
通過Telegram來遠程控制黑客的工具
Katyusha 掃描器是利用Telegram來發送消息的,這可以使其利用程序來控制其操作,例如發送和接收命令。Katyusha 掃描器非常易於設置和使用,使用智能手機就可以同時對大量目標網站進行大規模的滲透攻擊。Pro版本的工具不僅僅能識別易受攻擊的網站,而且還允許黑客在易受攻擊Web伺服器中建立「強大的立足點」,並自動提取一些特權信息,如登錄憑據等。Katyusha 掃描器還允許自動轉儲資料庫,並可在Linux和Windows機器上使用。掃描完成後,Katyusha 掃描器會把易受攻擊網站的名稱以簡訊的形式發給犯罪分子,還包括其Alexa網路評級,幫助犯罪分子來識別對該網站進行攻擊後有多大的收益,可以預見主要針對的將是一些流行網站以及網站的資料庫數量較多的。
這樣犯罪分子即使沒有技術知識,也可以通過點擊他們的智能手機來下載任何exfiltrated數據,並發出命令。研究人員寫道:
Katyusha 掃描器是一款具有高可靠性,並且十分便宜的工具,它提供的技術技能其實是有限的,但仍然可能加劇各種業務遭遇網路犯罪分子的攻擊以至於出現數據泄露問題,這樣也就突出了定期的基礎設施安全審核的重要性。
許多買家對黑市網站上的工具質量表示讚賞,其中一個客戶在成功攻擊了八台網路伺服器後表達了自己對該工具的好感。
「這是非常優秀的工具以及售後服務!賣家已經為我在伺服器上配置了該軟體,之前我自己總是失敗,但是,現在它完全成功了!我強烈推薦這個軟體,它在半天的時間裡,就已經為我發現八個SQL漏洞,這是個偉大的自動化程序。非常感謝賣家。」
另一位則寫道:「在購買後賣家幫助我完成了產品設置,(Katyusha)立即發現了SQL漏洞,感謝您的優秀產品。」
最初,Katyusha掃描器的售價為500美元,但出人意料的是,2017年5月10日發布的輕型版本的功能雖然有限,但卻將售價打了對摺,僅售250美元。而6月底發布的最新的Katyusha 0.8 Pro更新版本,更是首次將掃描儀定價為每月租金200美元。
本文翻譯自:Katyusha Scanner — Telegram-based Fully Automated SQL Injection Tool,如若轉載,請註明來源於嘶吼: Katyusha掃描器:基於Telegram的全自動SQL注入工具 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※黑客技能:快速提取Windows密碼和Wi-Fi密鑰憑證
※CVE-2017-7494漏洞復現的坑
※谷歌、Facebook等公司不願分享用戶數據,英國政府用高稅收威脅
※關於職業安全滲透工作者的學習方向和出路的提問?
※域信任機制的攻擊技術指南Part.2
TAG:信息安全 |