Zi 字媒體

2017年4月8日，一位俄語用戶在某黑客論壇介紹了名為喀秋莎(Katyusha Scanner)的掃描器，號稱是一款非常強大的自動化SQL掃描器。與現在的大部分掃描器不同，這款SQL漏洞掃描器的售價也高得驚人，達到了500美元，但是高昂的售價收到的卻是黑客們的好評如潮，到底這款掃描器好在什麼地方，能賣出這麼高的售價卻讓大家甘願掏出500美元呢？來自Recorded Future的研究人員發現這款SQL掃描器勝在它強大的功能、服務保障，還有方便的交互方式。功能強大喀秋莎這個名字相信很多人都不陌生，是一首第二次世界大戰戰前就流傳於蘇聯的歌曲，在二次大戰時為蘇聯士兵送行的愛情歌曲。不過這款漏洞掃描器顯然不會這麼浪漫，它得名於前蘇聯衛國戰爭時期火箭炮名，該炮射擊火力兇猛，殺傷範圍大，而這款掃描器的名字正是反映了類似的特性。喀秋莎掃描器基於Arachni製作，這是一款開源的Web漏洞掃描框架，喀秋莎作者對其進行了一些改進，喀秋莎支持的操作包括：CMS識別(Bitrix, WordPress, OpenCart等)登陸密碼爆破(與SQLi掃描功能共存)自動化webshell上傳SQL掃描支持：基於錯誤的sql注入檢測(sql_injection)OracleInterBasePostgreSQLMySQLMSSQLEMCSQLiteDB2InformixFirebirdSaP Max DBSybaseFrontbaseIngresHSQLDBMS AccessSQL盲注MySQLPostgreSQLMSSQL服務保障喀秋莎掃描器售價高達500美元，不過作者在今年5月10日也推出了一款輕量版本，這款輕量版的部分功能受限，但價格為250美元。喀秋莎時間線之後幾個月，作者發布了七次重大更新，最近的一次發佈於6月26日，版本號為0.8專業版。在這個版本中作者還推出了200美元每月的租用模式，或者一次性以500美元的價格購買。相比輕量版，專業版提供了更加強大的功能，不僅是識別功能更加強大，駐足web伺服器的方法更加穩固，還支持自動提取登陸密碼等信息，掃描完成後，喀秋莎還會顯示目標網站對應的Alexa排名，直觀地展示網站的流行度，網站越受歡迎，漏洞的價值也就越高。掃描報告儘管輕量版和租用模式的售價仍然高昂，但還是收到了大量好評，其中一個原因可能是喀秋莎掃描器的「售後服務」。幾位買家的評論寫道：「服務支持很贊！賣家幫我的伺服器配置了軟體，之前沒成功，但現在可以了。我非常推薦這款掃描器，半天就找到了8個SQL漏洞，而且全程自動化。非常感謝賣家！」「（掃描器）作者在我購買之後幫忙配置了產品，然後掃描器就馬上發現了SQL漏洞。非常感謝！」交互方式與傳統很多掃描器一樣，喀秋莎掃描器支持的交互方式包括Web控制台。Web控制台除了Web控制台，喀秋莎掃描器還提供了Telegram的交互方式，黑客可以在telegram中發送要掃描的網站列表，然後同時對這些域名進行掃描，並且通過Telegram進行實時控制。黑客可以在telegram中發送要掃描的網站列表通過telegram檢查狀態想象一下通過你的手機操控遠端的掃描器，並且還能實時查看掃描狀態，接收掃描報告，這實在是一件很酷的事。「儘管SQL注入攻擊已經出現20幾年了，但黑客還是能夠利用它來攻擊網站。而像喀秋莎掃描器這樣功能強大操作傻瓜的掃描器更是會加重各行各業數據被入侵的情況，從而突出的是日常安全審計的重要性。」Recorded Future評論道。