Empire — это постэксплуатационный фреймворк. Это настоящий агент PowerShell, ориентированный исключительно на python, с криптографически защищенной связью и дополнительной гибкой архитектурой. У Empire есть средства для запуска агентов PowerShell без использования PowerShell.exe. PowerShell предоставляет множество наступательных настроек, которые также включают полный доступ к .NET, белый список блокировки приложений и прямой доступ к Win32. Он также создает вредоносные двоичные файлы в памяти. Он обеспечивает функциональность C2 и позволяет встраивать второй этап после первого. Его также можно использовать для бокового движения.
Более того, это полезно, поскольку оно распространяется по сравнению с другими системами. Точно так же, поскольку для него не требуется PowerShell.exe, он дает вам возможность обойти антивирусы. Таким образом, идеально использовать PowerShell Empire.
Прежде чем начать использовать этот инструмент, вы должны знать эти четыре термина:
1. Слушатель: это процедура, которая прослушивает соединение с атакуемой машиной.
2. Stager: это фрагмент, который позволяет запускать наш деструктивный код через агент на скомпрометированной машине.
3. Агент: это программа, которая поддерживает связь между вашим компьютером и скомпрометированным хостом.
4. Модуль: это то, что выполняет наши вредоносные команды, которые могут собирать учетные данные и повышать наши привилегии.
Чтобы загрузить Empire, посетите страницу https://github.com/EmpireProject/Empire и скопируйте ссылку.
Пример: (root@kali:/opt# git clone https://github.com/EmpireProject/Empire.git ).
Перейдите в каталог «Empire/setup» и запустите установочный файл «./intall.sh».
Пример: (root@kali:/opt# cd Empire/setup) и (root@kali:/opt# ./install.sh).
После завершения установки вернитесь в предыдущий каталог с помощью команды «cd ..» и введите «./empire», чтобы запустить программу.
Если вы хотите узнать больше о возможностях этого инструмента, введите "help" в консоли Empire.
Как указывает рабочий процесс, сразу же нам нужно сделать слушателя на нашей атакующей машине. Для этого введите listeners в консоли Empire. После выполнения этой команды будет сказано, что "в настоящее время нет активных слушателей", но не волнуйтесь, сейчас мы находимся в интерфейсе "слушателей". В интерфейсе "listeners" нам нужно вывести список всех доступных опций с помощью команды "uselistener", за которой следует двойной "‹Tab› ‹Tab›" действие.
Приведенная выше команда выведет список всех доступных прослушивателей, которые можно использовать, например, dbx, http, http_com и т. д. Самый распространенный и широко используемый слушатель — это http, и мы будем использовать его в нашем примере. Чтобы выбрать слушателя, используйте ту же команду, но добавьте тип слушателя в конце «uselistener http». Как и в Metasploit, мы можем вывести список доступных опций прослушивателя Empire с помощью команды info.
Чтобы настроить или изменить слушателя, нам нужно изменить некоторые параметры с помощью команды "set". После того, как ваши параметры установлены правильно, введите "выполнить", чтобы запустить прослушиватель.
Наш слушатель готов к входящим соединениям. Вы можете использовать несколько прослушивателей, работающих на разных портах. Чтобы вывести список всех активных слушателей, вернитесь на один шаг назад с помощью команды «назад» и введите «список».
Как вы можете видеть здесь, у нас есть один слушатель, http_empire, активный и ожидающий входящих подключений с порта 8080. Затем нам нужно создать бэкдор/стейджер, который можно отправить на целевой компьютер. . Чтобы разработать стадировщик, используйте команду “usestager”, за которой следует двойное действие “‹tab› ‹tab›”,и он выведет список все доступные типы бэкдоров, которые вы можете сгенерировать. В этом примере мы создадим бэкдор windows/launcher_bat, который можно запускать в операционных системах Windows.
Далее нам нужно просмотреть все параметры и внести в них некоторые изменения. Введите "info", чтобы получить список всех параметров, а затем используйте команду "set", чтобы соответствующим образом изменить параметры.
Здесь нам нужно установить для параметра "Listener" значение "http_empire", потому что это то, что мы использовали при создании прослушивателя ранее, а затем установить " OutFile”, чтобы указать, где нужно сохранить бэкдор. В этом случае мы сохраним его в нашем веб-каталоге, чтобы его можно было легко найти. Вы можете использовать любые другие методы доставки или методы социальной инженерии и отправить этот бэкдор на целевой компьютер. Эта часть полностью зависит от вашего воображения. Когда все настроено соответствующим образом, введите "execute", чтобы сгенерировать бэкдор/стейджер.
Давайте посмотрим на этот бэкдор в действии и попробуем скомпрометировать целевой компьютер. Перейдите на компьютер жертвы и загрузите бэкдор. После его выполнения компьютер злоумышленника должен получить соединение с оболочкой и может взаимодействовать с целевым компьютером.
Как показано на скриншоте, активный агент создан и ожидает взаимодействия. Чтобы удаленно управлять нашей целью, сначала нам нужно вывести всю информацию об агенте с помощью команды "agents", а затем ввести "interact [имя агента]" для взаимодействия с ним. .
Как видите, теперь у нас есть полный доступ к целевому компьютеру, и мы можем использовать его намного дальше. Подробности мы обсудим на постэксплуатационной сессии.
В ходе нашего исследования мы сталкиваемся с организациями всех размеров, форм и составов. Тот, который мы видели много раз, имеет достаточно равное сочетание операционных систем Windows и Apple OSX. В обычных условиях может быть сложно определить, какие пользователи используют Windows, а какие — OSX. Это затрудняет фишинг с помощью вредоносных программ. Оболочки не будет, если неправильная полезная нагрузка будет отправлена в неправильную операционную систему.
В качестве обходного пути мы можем добавить интеллект к нашему вредоносному ПО, чтобы определить, выполнять ли полезную нагрузку PowerShell или Python в зависимости от целевой операционной системы. Теперь у нас есть готовые этапы для достижения этой цели благодаря включению проектов PowerShell Empire и EmPyre в PowerShell Empire 2.0.
