經(jīng)歷漫長的等待后,后滲透測試神器 Empire 終于迎來了多項重大功能升級的 3.0 版本(https://github.com/BC-SECURITY/Empire/)。
Empire 是一款類似 Metasploit 的 PowerShell 可視化后期滲透測試框架,建立在密碼安全通信和靈活的架構(gòu)上。Empire 實現(xiàn)了無需 powershell.exe 就可運行 PowerShell 代理的功能,可快速部署后期漏洞利用模塊,從鍵盤記錄器到 Mimikatz,并且能夠適應(yīng)通信躲避網(wǎng)絡(luò)檢測,所有的這些功能都封裝在一個以實用性為重點的框架中。
根據(jù) BC-security 的官方博客,Empire3.0 相比之前的 2.5 版本有了以下重大升級:
從過去的純 Python 2.7 移植到 2.7/3.x 環(huán)境。鑒于 Python 2.7 即將于 2019 年底走到盡頭,Debian 已經(jīng)開始放棄對所有 Python 2.7 程序包的支持。Debian 停止支持已經(jīng)影響到了 Kali 對多個工具的支持,其中就包括 Empire。移植 Python3.x 后,能夠確保 Empire 在未來很長一段時間都能獲得 Kali 的支持。
除了向 Python3 移植外,Empire3.0 還增加了大量新功能模塊(其中有些模塊已經(jīng)出現(xiàn)在開發(fā)分支版本中)。
通過更新 Base Launcher 消除了原有的一些簽名和導(dǎo)致被 windows Defender 發(fā)現(xiàn)的 bug。
Mimikatz 是當(dāng)下最流行的后滲透測試工具之一,能夠從內(nèi)存中提取哈希值、密碼等信息。在 Empire3.0 中, Mimikatz 升級到 2.2.0 版本,使得攻擊 Windows 10(尤其是1903)成為可能。另外一個重要的新功能是加入了數(shù)據(jù)保護 API (DPAPI) 支持 Powershell PSCredential 和 SecureString。最新版本的 Mimkatz 已經(jīng)在 Github 上架(https://github.com/gentilkiwi/mimikatz)
JA3 是 TLS 握手的指紋機制,是識別惡意加密流量的推薦方案。Akamai 發(fā)布的威脅研究報告顯示,如今超過 80% 的惡意流量都流經(jīng)加密通道。因此,很多防御者也開始采用這種技術(shù)。
BC-security 在博客中指出,Powershell 和 Empire 框架未來將仍會是 APT、惡意軟件作者和紅隊最主要的攻擊矢量之一。模擬主要攻擊威脅而不是去部署最新潮的攻擊性技術(shù)依然是企業(yè)最有效的安全策略之一。BC-security 還承諾未來繼續(xù)不斷完善和更新 Empire 框架,一些規(guī)劃中的更新包括集成更多 C# 模塊,以及增加一個多用戶 GUI。
