Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Descontinuado proyecto PowerShell Empire Framework




Empire es un framework post-explotación. Es un agente de PowerShell puro, centrado únicamente en Python con comunicaciones criptográficas seguras con el complemento de una arquitectura flexible cuyo principal objetivo es la ejecución de payloads de Powershell en máquinas Windows.. Empire tiene los medios para ejecutar agentes de PowerShell sin el requisito de PowerShell.exe. Puede emplear rápidamente módulos post-explotables, que cubren una amplia gama que va desde keyloggers hasta mimikatz, etc.






PowerShell Empire se estrenó en BSides de Las Vegas en 2015  y Python EmPyre se estrenó en HackMiami 2016.

Este framework es una combinación de los proyectos PowerShell Empire y Python Empire; lo que lo hace fácil de usar. PowerShell Empire se lanzó en 2015 y Python Empire se lanzó en 2016. Es similar a Metasploit y Meterpreter. Pero como es una herramienta de comando y control, te permite controlar una PC de manera mucho más eficiente.



PowerShell Empire es un framework diseñado en Python y basado en agentes que se ejecuta en el equipo comprometido mientras nosotros podemos gestionar el control de diversas acciones como elevar privilegios, descargar o subir archivos, entre otros.


El marco posterior a la explotación Empire utiliza que discontinuado, sin soporte, ni nuevas actualizaciones, pasando la el relevo a otras a herramientas más nuevas para actividades ofensivas. El anuncio llegó durante el mes de agosto, de la mano de Chris Ross, uno de los desarrolladores del framework

Dijo que el proyecto cumplió su propósito original, el de mostrar las capacidades posteriores a la explotación de PowerShell y sensibilizar a los actores avanzados que usan PowerShell para operaciones maliciosas.


Características y funcionamiento básico

  • Listeners - uselistener
  • Stagers - usestager
  • Agents  -  interact AGENT_NAME
  • Modules - usemodule [tab]
  • Scripts


Ligero y modular


Su naturaleza de código abierto y su arquitectura modular le permitieron crecer y satisfacer las necesidades de los equipos de seguridad ofensivos, quienes vieron en él la oportunidad de probar las defensas imitando los ataques de los actores de amenazas reales.

Una de sus principales ventajas es que utiliza comunicación cifrada con el servidor de comando y control y dificulta la detección de su tráfico, especialmente en redes grandes.

Un adversario puede usar Empire para controlar un agente plantado en el host comprometido y reenviar el ataque. El desarrollo posterior eliminó la necesidad de powershell.exe en la máquina infectada.



Con el tiempo, se agregaron numerosos módulos de exploits al marco para diversas necesidades de piratería y un agente de Python para sistemas Linux y macOS.


Si bien se convirtió en una herramienta común para los evaluadores de penetración, Empire también fue aceptado por actividades maliciosas. Los investigadores lo vieron utilizado por varios grupos de amenazas.

El grupo APT Hades utilizó Empire en su campaña "Olynpic Destroyer" durante la edición 2018 de los Juegos Olímpicos de Invierno en Corea del Sur.

A finales de 2018, el grupo de ciberdelincuencia FIN7 también comenzó a confiar en el marco Empire, no solo en el software de emulación de amenazas Cobalt Strike.

Los actores de amenazas también lo usaron con mayor frecuencia en incidentes de ransomware de alto perfil. El investigador de seguridad Vitali Kremez señala a las botnets Trickbot y Dridex que utilizan Empire para la explotación de la red y el movimiento lateral para entregar el malware de cifrado de archivos Ryuk y BitPaymer. Un ejemplo es la asociación Trickbot-Ryuk, que se basó en el juego de herramientas Empire para distribuir la carga útil a través de la red de la víctima.

Ryuk y BitPaymer incluyeron a Empire en sus campañas maliciosas en 2018, pero otras familias de ransomware que participaron en ataques dirigidos comenzaron a aprovechar la herramienta.

El investigador cree que los cibercriminales comenzaron a usar Empire más intensamente después de la versión 2.0 del marco, que era más estable que nunca.

Desafortunadamente, es imposible evitar que los actores maliciosos adopten las herramientas utilizadas por la industria infosec para fortalecer las defensas.


"No hay forma de construir herramientas ofensivas útiles para la industria legítima de infosec y al mismo tiempo evitar que los actores maliciosos abusen de ellas. Empire fue escrito en interés de la educación e impulsó ideas particulares en la industria pública". - Renuncia de responsabilidad de Empire


Alternativas al framework Empire PowerShell

Resurección de Empire

Murió y resucitó



Durante la edición 27 de Defcon BC-Security anunció que continuaría el desarrollo haciendo un fork del proyecto, incorporando funcionalidades de bypass de AMSI y posteriormente reparando funcionalidades que iban dejando de estar operativas por actualizaciones en los sistemas operativos modernos. El siguiente gran paso fue la migración de los componentes de server a Python 3.

Con la aparición de la versión 3.0 el proyecto volvía “a la vida” y traía una serie de actualizaciones y novedades. A continuación un breve resumen de ello:

- Compatibilidad con Python 2/3. Se portó desde Python 2.7 a 2.7/3.X. Un hecho que simplificará algunas cosas en el futuro y dará mayor soporte a la herramienta.

- Se añadió un listado de módulos. Si nos fijamos en la imagen de la Figura 3, actualmente se ofrecen 314 módulos. La versión 2.5, la última del proyecto original, acabaron en 285 módulos. El volumen de módulos que se ha incluido es interesante. Algunos módulos que se metieron en la versión 3.0 son:
 o Actualización de Mimikatz 2.2.0.
o Sherlock. Un interesante función en Powershell para obtener vulnerabilidades del sistema y poder lograr una escalada de privilegios. Ya hablamos de ello en su día.

o Algunos cambios más relacionados con LAPS, AppLocker, SMB, Kerberos, WinUpdate, etcétera. 


 - Se añadió un listener nuevo a Empire denominado Malleable C2 HTTP Listener, del cual hablaremos en otra ocasión. Heredada de CobaltStrike la idea. 
 
- Se añadió la posibilidad de cargar binarios mediante “reflective load”. 
 
- Se añadió Invoke-Watson, un script que permite recopilar y enumerar vulnerabilidades de cara a una escalada de privilegios. Un digno sucesor de Sherlock. 
 
- Se añadió Invoke-WinPEAS o Windows Privilege Escalation Awesome Scripts, quizá una obra de arte de la enumeración de vulnerabilidades y escalada de privilegios. 
 
- Se añadió Invoke-DomainPasswordSpray. En el blog ya hablamos de esto hace tiempo explicando en qué consiste un password spray


En la versión 3.6, incluso, viene el módulo ya de Zerologon. 

En Empire, los stagers vienen con dos técnicas de bypass de AMSI integradas para ser ejecutadas antes que el código del stager sobre la máquina con Windows 10. Esto es algo lógico, ya que si no se hace un bypass de AMSI quizá no se pueda ejecutar el stager de Empire nunca, ya que Defender o el AV que se tenga lo detectaría y evitaría dicha ejecución. 


Instalación

Clonar el repositorio del proyecto


git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
sudo ./setup/install.sh

Una vez finalizado el clone, cambiar al directorio y ejecutar el script de instalación


cd Empire
sudo ./setup/install.sh


Durante la instalación nos solicitara una contraseña de negociación con el servidor

«[>] Enter server negotiation password, enter for random generation:»

Es seguro dejar la generación random

Para iniciar empire


sudo ./empire


Para quienes estén familiarizados con metasploit, los listeners son similares a los handlers que utiliza MSF.


listeners
help


Los stagers son porciones de código a ejecutar en un agente, son el análogo de los payloads en metasploit.

Los stagers se implementan modularmente y se encuentran en ./lib/stagers.

Para generar un stager que se comunique con nuestro listener de empire que creamos en la sección anterior


usestager multi/launcher
set Listener Listener_http

execute 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.