PowerShell Empire: продвинутая пост-эксплуатация Windows систем

    image

    PowerShell Empire — это уникальный пост-эксплуатационный PowerShell агент, построенный на базе крипто-надежных соединений и гибкой архитектуры. Empire предоставляет возможность запускать PowerShell агенты без необходимости использования powershell.exe, с быстрым запуском пост-эксплутационных модулей, которые варьируются от кейлоггеров до Mimikatz, и позволяет успешно избегать сетевое обнаружение, при этом весь этот функционал собран в одном удобном и гибком фреймворке.

    Powershell Empire


    Powershell Empire предоставляет модульную платформу для пост-эксплуатации, используя возможности средства автоматизации ОС Windows PowerShell.

    Empire агенты полностью работают в оперативной памяти и их сложно обнаруживать средствами защиты, т.е. антивирусным ПО и системами предотвращения вторжений из-за того, что они написаны на скриптовом языке и во время выполнения между агентом и антивирусным ПО стоит интерпретатор скриптового языка, в отличие от классических пейлоадов, скомпилированных в ассемблер и исполняемый файл. Этот фреймворк активно используется как для пост-эксплутации в Windows системах, так и при создании фишинговых/социотехнических кампаниях.

    Установка системы


    Powershell Empire работает в Linux среде и по своей структуре напоминает Metasploit Framework. Установка производится клонированием с git-репозитория:

    git clone https://github.com/adaptivethreat/Empire.git

    После этого необходимо запустить установочный скрипт для установки необходимых python зависимостей:

    ./setup/install.sh



    Особенности Powershell Empire


    Фреймворк постоянно совершенствуется, буквально на днях вышло очередное глобальное обновление, содержащее множество исправлений и дополнений.

    Для работы с удаленной Windows системой необходимо доставить на нее т.н. stager, представляющий из себя обфусцированный код для запуска. После исполнения stager стартует т.н. agent, с помощью которого происходит взаимодействие с атакованной системой.

    Методы доставки stager могут иметь различные векторы — от фишинговых атак, до компрометации системы с помощью выявленных (незапатченных) уязвимостей и т.д.

    Агенты могут быть представлены в следующем виде:

    • launcher_bat – агент доставляется при запуске bat-файла;
    • launcher_vbs – агент доставляется при выполнении vbs-скрипта;
    • macro – код макроса для внедрения в офсиные документы;
    • dll – запуск агента в виде «dll hijacking»- внедрение в процесс DLL.

    Stager dll позволяет интегрировать Empire с фреймворком Metasploit и другими современными инструментами. При помощи эксплойта требуется провести инъекцию вредоносной DLL в атакованный процесс, после чего произойдет загрузка Empire агента в оперативную память машины жертвы и его выполнение.

    Основные особенности, которые я бы хотел отметить — это готовые средства для взаимодействия с атакованной Windows системой:

    • интеграция с Metasploit Framework;
    • повышение привилегий;
    • сбор информации об атакованной системе и эксфильтрация данных;
    • закрепление в системе;
    • запись звука с интегрированного микрофона;
    • сохранение скриншотов;
    • извлечение Windows паролей и хешей;
    • и многое другое.

    Для удобства использования можно воспользоваться сторонним модулем PowerShell Empire Web Interface.

    image

    Видео-демонстрация работы


    • +28
    • 10,3k
    • 1

    Pentestit

    87,47

    Информационная безопасность

    Поделиться публикацией
    Комментарии 1
      0
      Наконец-то я дождался ещё одной статьи о pwshrl Empire на Хабре. Планируете дальше развивать эту тему?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое