PowerShell Empireは、暗号の信頼性の高い接続と柔軟なアーキテクチャに基づいて構築された、運用後の独自のPowerShellエージェントです。 Empireは、powerlogger.exeを必要とせずにPowerShellエージェントを実行する機能を提供します。キーロガーからMimikatzまでさまざまな操作後モジュールをすばやく起動し、これらすべての機能が1つの便利で柔軟なフレームワークに組み込まれている間、ネットワーク検出を正常に回避できます。
Powershell Empire
Powershell Empireは、Windows PowerShellのパワーを活用して、悪用後のモジュール式プラットフォームを提供します。
EmpireエージェントはRAMで完全に動作し、セキュリティ機能を使用して検出することは困難です。 スクリプト言語で記述され、実行時にスクリプト言語のインタープリターがエージェントとウイルス対策ソフトウェアの間にあるという事実により、ウイルス対策ソフトウェアおよび侵入防止システムは、アセンブラーおよび実行可能ファイルにコンパイルされた従来のペイロードとは異なります。 このフレームワークは、Windowsシステムでの悪用後とフィッシング/ソーシャルテクニカルキャンペーンの作成の両方で積極的に使用されています。
システムのインストール
Powershell EmpireはLinux上で実行され、その構造はMetasploit Frameworkに似ています。 インストールは、gitリポジトリからクローンを作成することにより行われます。
git clone https://github.com/adaptivethreat/Empire.git
その後、インストールスクリプトを実行して、必要なPython依存関係をインストールする必要があります。
./setup/install.sh
Powershell Empireの機能
フレームワークは絶えず改善されています;先日、次のグローバルアップデートがリリースされ 、多くの修正と追加が行われました。
リモートWindowsシステムで作業するには、いわゆる ステージャー。実行する難読化されたコードです。 ステージャーが実行された後、いわゆる 攻撃されたシステムとの対話が発生するエージェント。
ステージャーの配信方法には、フィッシング攻撃から、特定された(パッチが当てられていない)脆弱性を使用したシステムの侵害など、さまざまなベクトルがあります。
エージェントは次のように表すことができます。
- launcher_bat-batファイルの起動時にエージェントが配信されます。
- launcher_vbs-エージェントはvbs-scriptの実行時に配信されます。
- macro-オフィス文書に実装するためのマクロコード。
- dll-「dllハイジャック」の形式でエージェントを実行-プロセスでのDLLの実装。
Stager dllを使用すると、EmpireをMetasploitフレームワークおよびその他の最新ツールと統合できます。 このエクスプロイトを使用して、攻撃されたプロセスに悪意のあるDLLを挿入する必要があります。その後、Empireエージェントが被害者のマシンのRAMにロードされ、実行されます。
私が注目したい主な機能は、攻撃されたWindowsシステムと対話するための既製のツールです。
- Metasploit Frameworkとの統合。
- 特権昇格。
- 攻撃されたシステムに関する情報の収集とデータの流出。
- システムの統合。
- 内蔵マイクからの録音;
- スクリーンショットの保存。
- Windowsのパスワードとハッシュを抽出します。
- などなど。
使いやすくするために、サードパーティのPowerShell Empire Web Interfaceモジュールを使用できます。
