经历漫长的等待后,后渗透测试神器 Empire 终于迎来了多项重大功能升级的 3.0 版本(https://github.com/BC-SECURITY/Empire/)。
Empire 是一款类似 Metasploit 的 PowerShell 可视化后期渗透测试框架,建立在密码安全通信和灵活的架构上。Empire 实现了无需 powershell.exe 就可运行 PowerShell 代理的功能,可快速部署后期漏洞利用模块,从键盘记录器到 Mimikatz,并且能够适应通信躲避网络检测,所有的这些功能都封装在一个以实用性为重点的框架中。
根据 BC-security 的官方博客,Empire3.0 相比之前的 2.5 版本有了以下重大升级:
从过去的纯 Python 2.7 移植到 2.7/3.x 环境。鉴于 Python 2.7 即将于 2019 年底走到尽头,Debian 已经开始放弃对所有 Python 2.7 程序包的支持。Debian 停止支持已经影响到了 Kali 对多个工具的支持,其中就包括 Empire。移植 Python3.x 后,能够确保 Empire 在未来很长一段时间都能获得 Kali 的支持。
除了向 Python3 移植外,Empire3.0 还增加了大量新功能模块(其中有些模块已经出现在开发分支版本中)。
通过更新 Base Launcher 消除了原有的一些签名和导致被 windows Defender 发现的 bug。
Mimikatz 是当下最流行的后渗透测试工具之一,能够从内存中提取哈希值、密码等信息。在 Empire3.0 中, Mimikatz 升级到 2.2.0 版本,使得攻击 Windows 10(尤其是1903)成为可能。另外一个重要的新功能是加入了数据保护 API (DPAPI) 支持 Powershell PSCredential 和 SecureString。最新版本的 Mimkatz 已经在 Github 上架(https://github.com/gentilkiwi/mimikatz)
JA3 是 TLS 握手的指纹机制,是识别恶意加密流量的推荐方案。Akamai 发布的威胁研究报告显示,如今超过 80% 的恶意流量都流经加密通道。因此,很多防御者也开始采用这种技术。
BC-security 在博客中指出,Powershell 和 Empire 框架未来将仍会是 APT、恶意软件作者和红队最主要的攻击矢量之一。模拟主要攻击威胁而不是去部署最新潮的攻击性技术依然是企业最有效的安全策略之一。BC-security 还承诺未来继续不断完善和更新 Empire 框架,一些规划中的更新包括集成更多 C# 模块,以及增加一个多用户 GUI。