Katyusha Scanner: ataki na strony WWW przez komunikator na smartfonie
Żaden chyba producent oprogramowania nie powie otwarcie, że jegonarzędzia są trudne. Wręcz przeciwnie, wszyscy chwalą sięintuicyjnością i prostotą, obsługa ma być tak łatwa, że nawetprzedszkolak sobie poradzi. Dlaczego miałoby być inaczej w wypadkunarzędzi hakerskich? Takim właśnie narzędziem hakerskim nowejgeneracji, prostym i miłym w obsłudze, jest Katyusha Scanner Pro,narzędzie do automatyzacji, jakby to powiedzieć… testówpenetracyjnych witryn internetowych.
Ataki typu SQL Injection (SQLi) wynikają z niewłaściwegoprzetworzenia poleceń do baz danych, przesłanych przez aplikacjęinternetową w ramach operacji wywołanej przez użytkownika.Przykładowo aplikacja może oczekiwać loginu użytkownika,tymczasem napastnik przesyła ciąg znaków będący poleceniem SQL,który zostaje włączony do kolejnej operacji bazodanowej. Pozwalato niejednokrotnie na wykonanie własnego kodu na serwerze iujawnienie wrażliwych danych, np. listy użytkowników serwisu i ichdanych adresowych.
Badacze z zajmującej się bezpieczeństwem firmy Recorded Futuredonosząo nowym narzędziu do automatyzacji ataków SQL Injection, któreprzyjęte zostało przez cyberprzestępczą scenę z owacjami nastojąco. Katyusha Scanner Pro oferowana jest albo w modelu SaaS,gdzie płacimy 250 dolarów miesięcznie, albo za jednorazową opłatą500 dolarów. W zamian dostajemy skaner podatności, który bazuje naopensource’owym narzędziu ArachniScanner.
Arachni Scanner, choć jest narzędziem bardzo potężnym, jestzarazem skomplikowany w użyciu. Jego modularność i dopracowanyinterfejs REST pozwalają jednak zastąpić domyślny interfejswebowy czymś zupełnie innym. I to właśnie zrobili twórcyKatyushy. Wykorzystali kod popularnego komunikatora Telegram,przekształcając go w prosty interfejs skanera podatności.
Korzystający z Katyushy napastnik może teraz po prostu wgraćlistę interesujących go stron internetowych i uruchomić równolegleprzeprowadzane skanowanie podatności SQLi – wszystko ze swojegosmartfonu. Płatna wersja Pro pozwala na znacznie więcej:automatyzuje proces przejęcia wybranych witryn i wydobycia z nichwrażliwych informacji. Płacącyc cyberprzestępca nie musi wieleumieć: wystarczy że wybierze z wyników skanowania interesujące gowitryny (najlepiej te o wysokim rankingu Alexy, jako że te się będąnajbardziej opłacały), a cała reszta zajdzie automatycznie.
Lista możliwych do zaatakowania w ten sposób technologiiwebowych jest długa – to nie tylko popularne systemy zarządzaniatreścią, ale też rozmaite autorskie witryny z funkcjami logowaniaczy wgrywania plików, które wykorzystują takie bazy danych jakMySQL, PostgreSQL, SQL Server, Oracle, Firebird i wiele innych.
Jak piszą badacze z Recorded Future, nazwa nie jest przypadkowa:chodzi o radziecką arylerię rakietową, która stała się ikonąArmii Czerwonej podczas II Wojny Światowej, i której salwyprzygotowywały natarcia piechoty nie tylko niszcząc cele, aleprzede wszystkim łamiąc morale żołnierzy Wehrmachtu. DzisiajKatyusha Scanner, pozwalając cyberprzestępcom na masowy „ostrzał”celów, w podobny sposób łamie morale niekompetentnych webmasterówi administratorów, utrzymujących pełne luk witryny internetowe.
Nic więc dziwnego, że klienci są z Katyushy bardzo zadowoleni,czemu dają wyraz w komentarzach. Jeden z nich chwali sprzedawcę,pisząc, że skonfigurował mu serwer pod oprogramowanie, które wkilka godzin znalazło osiem podatnych na atak witryn – świetnywynik jak na automat.
Biorąc pod uwagę cenę narzędzia jak i jego rosnącąpopularność, można się spodziewać, że w ślady twórcówKatyushy pójdzie wielu innych. Zapotrzebowanie na prosty w obsłudzehacking najwyraźniej jest.
