Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Descontinuado proyecto PowerShell Empire Framework




Empire es un framework post-explotación. Es un agente de PowerShell puro, centrado únicamente en Python con comunicaciones criptográficas seguras con el complemento de una arquitectura flexible cuyo principal objetivo es la ejecución de payloads de Powershell en máquinas Windows.. Empire tiene los medios para ejecutar agentes de PowerShell sin el requisito de PowerShell.exe. Puede emplear rápidamente módulos post-explotables, que cubren una amplia gama que va desde keyloggers hasta mimikatz, etc.






PowerShell Empire se estrenó en BSides de Las Vegas en 2015  y Python EmPyre se estrenó en HackMiami 2016.

Este framework es una combinación de los proyectos PowerShell Empire y Python Empire; lo que lo hace fácil de usar. PowerShell Empire se lanzó en 2015 y Python Empire se lanzó en 2016. Es similar a Metasploit y Meterpreter. Pero como es una herramienta de comando y control, te permite controlar una PC de manera mucho más eficiente.



PowerShell Empire es un framework diseñado en Python y basado en agentes que se ejecuta en el equipo comprometido mientras nosotros podemos gestionar el control de diversas acciones como elevar privilegios, descargar o subir archivos, entre otros.


El marco posterior a la explotación Empire utiliza que discontinuado, sin soporte, ni nuevas actualizaciones, pasando la el relevo a otras a herramientas más nuevas para actividades ofensivas. El anuncio llegó durante el mes de agosto, de la mano de Chris Ross, uno de los desarrolladores del framework

Dijo que el proyecto cumplió su propósito original, el de mostrar las capacidades posteriores a la explotación de PowerShell y sensibilizar a los actores avanzados que usan PowerShell para operaciones maliciosas.


Características y funcionamiento básico

  • Listeners - uselistener
  • Stagers - usestager
  • Agents  -  interact AGENT_NAME
  • Modules - usemodule [tab]
  • Scripts


Ligero y modular


Su naturaleza de código abierto y su arquitectura modular le permitieron crecer y satisfacer las necesidades de los equipos de seguridad ofensivos, quienes vieron en él la oportunidad de probar las defensas imitando los ataques de los actores de amenazas reales.

Una de sus principales ventajas es que utiliza comunicación cifrada con el servidor de comando y control y dificulta la detección de su tráfico, especialmente en redes grandes.

Un adversario puede usar Empire para controlar un agente plantado en el host comprometido y reenviar el ataque. El desarrollo posterior eliminó la necesidad de powershell.exe en la máquina infectada.



Con el tiempo, se agregaron numerosos módulos de exploits al marco para diversas necesidades de piratería y un agente de Python para sistemas Linux y macOS.


Si bien se convirtió en una herramienta común para los evaluadores de penetración, Empire también fue aceptado por actividades maliciosas. Los investigadores lo vieron utilizado por varios grupos de amenazas.

El grupo APT Hades utilizó Empire en su campaña "Olynpic Destroyer" durante la edición 2018 de los Juegos Olímpicos de Invierno en Corea del Sur.

A finales de 2018, el grupo de ciberdelincuencia FIN7 también comenzó a confiar en el marco Empire, no solo en el software de emulación de amenazas Cobalt Strike.

Los actores de amenazas también lo usaron con mayor frecuencia en incidentes de ransomware de alto perfil. El investigador de seguridad Vitali Kremez señala a las botnets Trickbot y Dridex que utilizan Empire para la explotación de la red y el movimiento lateral para entregar el malware de cifrado de archivos Ryuk y BitPaymer. Un ejemplo es la asociación Trickbot-Ryuk, que se basó en el juego de herramientas Empire para distribuir la carga útil a través de la red de la víctima.

Ryuk y BitPaymer incluyeron a Empire en sus campañas maliciosas en 2018, pero otras familias de ransomware que participaron en ataques dirigidos comenzaron a aprovechar la herramienta.

El investigador cree que los cibercriminales comenzaron a usar Empire más intensamente después de la versión 2.0 del marco, que era más estable que nunca.

Desafortunadamente, es imposible evitar que los actores maliciosos adopten las herramientas utilizadas por la industria infosec para fortalecer las defensas.


"No hay forma de construir herramientas ofensivas útiles para la industria legítima de infosec y al mismo tiempo evitar que los actores maliciosos abusen de ellas. Empire fue escrito en interés de la educación e impulsó ideas particulares en la industria pública". - Renuncia de responsabilidad de Empire





Alternativas al framework Empire PowerShell


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.