Una nueva y potente herramienta de hacking introducida recientemente en un foro subterráneo está haciendo noticia en estos días, permitiendo que cualquiera realice rápidamente exploraciones de sitios web en busca de fallas de inyección de SQL en una escala masiva, lo novedoso de esta herramienta es que es controlada desde un smartphone usando la aplicación de mensajería instantanea Telegram.
El Katyusha Scanner, es una herramienta de penetración que busca vulnerabilidades SQLi, de una forma completamente automatizada. Este software de hacking fue presentado por primera vez en abril de este año cuando un individuo de habla rusa lo publicó en un popular foro de hacking.
Los investigadores de la división de amenazas cybernéticas de Insikt Group encontraron y reportaron la existencia de esta herramienta a la venta en un foro de hacking subterráneo por sólo $ 500. Los usuarios pueden incluso alquilar la herramienta Katyusha Scanner por $ 200 al mes.
Según los investigadores, Katyusha Scanner es una herramienta basada en web que es una combinación de Arachni Scanner y una herramienta básica de SQL Injection que permite a los usuarios identificar automáticamente los sitios vulnerables de SQLi y luego explotarlos para hacerse del control de sus bases de datos.
Arachni es una herramienta de exploración de vulnerabilidades de código abierto que ayuda a los usuarios a evaluar la seguridad de sus aplicaciones web.
Lo que hace que a Katyusha Scanner diferente de los demas es su modelo de Infraestructura como servicio (IaaS). Que es básicamente el mismo modelo de negocio usado por Amazon en su AWS (Amazon Web Service), en dónde ofrece todo lo necesario para tener infraestructura de red con sólo una tarjeta de crédito.
Por ejemplo, los compradores de esta herramienta de hacking, pueden alimentar una lista de sitios web y Katyusha pasará por cada uno y tratará de buscar varios tipos de ataques SQLi. Una vez que se detecta un sitio, la herramienta puede explotar la falla, entregar un shell web, cargar otros tipos de archivos o copiar localmente la bases de datos de forma automática.
Además, Katyusha también se puede utilizar para ataques de fuerza bruta y hacerse con las credenciales de inicio de sesión de un CMS. El software está preparado para atacar una amplia gama de sistemas de bases de datos. La lista de los motores de base de datos que puede vulnerar según el creador de Katyusha es esta:
- Oracle
- InterBase
- PostgreSQL
- MySQL
- MSSQL
- EMC
- SQLite
- DB2
- Informix
- Firebird
- SaP Max DB
- Sybase
- Frontbase
- Ingres
- HSQLDB
- MS Access
Katyusha Scanner está abusando de la aplicación de mensajería Telegram para controlar sus operaciones, como enviar y recibir comandos.
La herramienta Katyusha Scanner es muy fácil de configurar y usar, lo cual permite a cualquier persona llevar a cabo ataques de penetración a gran escala contra un gran número de sitios web objetivo de manera simultánea con el mero uso de su smartphone.
La versión Pro de la herramienta no sólo identifica los sitios web vulnerables, sino que también permite a los ciberdelincuentes establecer un “punto de apoyo fuerte dentro de los servidores web vulnerables” y extraer automáticamente “información privilegiada como credenciales de inicio de sesión“.
Aunque hay varias maneras de protegerse contra los escáneres SQLi, la solución más fácil es implementar un WAF (Firewall de aplicaciones web) para proteger nuestros sitios de intentos de explotación básicos, como análisis SQLi, análisis de puertos o ataques de fuerza bruta. Uno de los WAF Open Source más populares es ModSecurity y puede trabajar con Apache, nginx y Microsoft IIS.