Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
871
)
- ► septiembre (Total: 17 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
agosto
(Total:
21
)
- Varias vulnerabilidades permitieron hackear el iPh...
- Apple publica parche para iOS 12.4.1 y repara jail...
- Malware en la app CamScanner, con más de 100M de d...
- Drone puede apoderarse señal de una Smart TV
- Incidente de seguridad proveedor Hostinger afecta ...
- Presentan el Fairphone 3 con diseño totalmente mod...
- Cuentas de Google ya accesibles mediante la autent...
- Descontinuado proyecto PowerShell Empire Framework
- Disponible nueva versión escáner puertos Nmap 7.80
- Adolescente publica en Twitter desde su frigorífic...
- Vulnerabilidades críticas en Escritorio Remoto de ...
- Huawei presentó HarmonyOS
- Consiguen hackear cámaras Canon réflex a través de...
- Cadena de burdeles española expone base de datos d...
- Microsoft descubre hackers rusos que utilizan disp...
- Descubren fallo de seguridad crítico en los Snapdr...
- Antivirus Windows Defender gana cuota de mercado: ...
- Descubren nuevas vulnerabilidades en WPA3
- Apple y Google suspenden las escuchas humanas en a...
- Cisco multada por vender conscientemente software ...
- Senador de Estados Unidos plantea acabar con el sc...
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Autopsy es una herramienta de código abierto que se utiliza para realizar operaciones forenses en la imagen de disco de las evidencias. Aq...
-
La ciberseguridad es un tema a tratar muy importante, pues cada vez tenemos más dispositivos electrónicos que pueden ser vulnerados, además ...
Descontinuado proyecto PowerShell Empire Framework
PowerShell Empire se estrenó en BSides de Las Vegas en 2015 y Python EmPyre se estrenó en HackMiami 2016.
Este framework es una combinación de los proyectos PowerShell Empire y Python Empire; lo que lo hace fácil de usar. PowerShell Empire se lanzó en 2015 y Python Empire se lanzó en 2016. Es similar a Metasploit y Meterpreter. Pero como es una herramienta de comando y control, te permite controlar una PC de manera mucho más eficiente.
PowerShell Empire es un framework diseñado en Python y basado en agentes que se ejecuta en el equipo comprometido mientras nosotros podemos gestionar el control de diversas acciones como elevar privilegios, descargar o subir archivos, entre otros.
El marco posterior a la explotación Empire utiliza que discontinuado, sin soporte, ni nuevas actualizaciones, pasando la el relevo a otras a herramientas más nuevas para actividades ofensivas. El anuncio llegó durante el mes de agosto, de la mano de Chris Ross, uno de los desarrolladores del framework
Dijo que el proyecto cumplió su propósito original, el de mostrar las capacidades posteriores a la explotación de PowerShell y sensibilizar a los actores avanzados que usan PowerShell para operaciones maliciosas.
- Listeners - uselistener
- Stagers - usestager
- Agents - interact AGENT_NAME
- Modules - usemodule [tab]
- Scripts
Ligero y modular
Su naturaleza de código abierto y su arquitectura modular le permitieron crecer y satisfacer las necesidades de los equipos de seguridad ofensivos, quienes vieron en él la oportunidad de probar las defensas imitando los ataques de los actores de amenazas reales.
Una de sus principales ventajas es que utiliza comunicación cifrada con el servidor de comando y control y dificulta la detección de su tráfico, especialmente en redes grandes.
Un adversario puede usar Empire para controlar un agente plantado en el host comprometido y reenviar el ataque. El desarrollo posterior eliminó la necesidad de powershell.exe en la máquina infectada.
Con el tiempo, se agregaron numerosos módulos de exploits al marco para diversas necesidades de piratería y un agente de Python para sistemas Linux y macOS.
Si bien se convirtió en una herramienta común para los evaluadores de penetración, Empire también fue aceptado por actividades maliciosas. Los investigadores lo vieron utilizado por varios grupos de amenazas.
El grupo APT Hades utilizó Empire en su campaña "Olynpic Destroyer" durante la edición 2018 de los Juegos Olímpicos de Invierno en Corea del Sur.
A finales de 2018, el grupo de ciberdelincuencia FIN7 también comenzó a confiar en el marco Empire, no solo en el software de emulación de amenazas Cobalt Strike.
Los actores de amenazas también lo usaron con mayor frecuencia en incidentes de ransomware de alto perfil. El investigador de seguridad Vitali Kremez señala a las botnets Trickbot y Dridex que utilizan Empire para la explotación de la red y el movimiento lateral para entregar el malware de cifrado de archivos Ryuk y BitPaymer. Un ejemplo es la asociación Trickbot-Ryuk, que se basó en el juego de herramientas Empire para distribuir la carga útil a través de la red de la víctima.
Ryuk y BitPaymer incluyeron a Empire en sus campañas maliciosas en 2018, pero otras familias de ransomware que participaron en ataques dirigidos comenzaron a aprovechar la herramienta.
El investigador cree que los cibercriminales comenzaron a usar Empire más intensamente después de la versión 2.0 del marco, que era más estable que nunca.
Desafortunadamente, es imposible evitar que los actores maliciosos adopten las herramientas utilizadas por la industria infosec para fortalecer las defensas.
"No hay forma de construir herramientas ofensivas útiles para la industria legítima de infosec y al mismo tiempo evitar que los actores maliciosos abusen de ellas. Empire fue escrito en interés de la educación e impulsó ideas particulares en la industria pública". - Renuncia de responsabilidad de Empire
Alternativas al framework Empire PowerShell
- 1) Apfell: https://github.com/its-a-feature/Apfell
- 2) Covenant: https://github.com/cobbr/Covenant
- 3) Sliver: https://github.com/BishopFox/sliver
- 4) Faction: https://factionc2.com
Resurección de Empire
Murió y resucitó
Durante la edición 27 de Defcon BC-Security anunció que continuaría el desarrollo haciendo un fork del proyecto, incorporando funcionalidades de bypass de AMSI y posteriormente reparando funcionalidades que iban dejando de estar operativas por actualizaciones en los sistemas operativos modernos. El siguiente gran paso fue la migración de los componentes de server a Python 3.
- Compatibilidad con Python 2/3. Se portó desde Python 2.7 a 2.7/3.X. Un hecho que simplificará algunas cosas en el futuro y dará mayor soporte a la herramienta.
- Se añadió un listado de módulos. Si nos fijamos en la imagen de la Figura 3, actualmente se ofrecen 314 módulos. La versión 2.5, la última del proyecto original, acabaron en 285 módulos. El volumen de módulos que se ha incluido es interesante. Algunos módulos que se metieron en la versión 3.0 son:
o Actualización de Mimikatz 2.2.0.o Sherlock. Un interesante función en Powershell para obtener vulnerabilidades del sistema y poder lograr una escalada de privilegios. Ya hablamos de ello en su día.
o Algunos cambios más relacionados con LAPS, AppLocker, SMB, Kerberos, WinUpdate, etcétera.
- Se añadió un listener nuevo a Empire denominado Malleable C2 HTTP Listener, del cual hablaremos en otra ocasión. Heredada de CobaltStrike la idea.
- Se añadió la posibilidad de cargar binarios mediante “reflective load”.
- Se añadió Invoke-Watson, un script que permite recopilar y enumerar vulnerabilidades de cara a una escalada de privilegios. Un digno sucesor de Sherlock.
- Se añadió Invoke-WinPEAS o Windows Privilege Escalation Awesome Scripts, quizá una obra de arte de la enumeración de vulnerabilidades y escalada de privilegios.
- Se añadió Invoke-DomainPasswordSpray. En el blog ya hablamos de esto hace tiempo explicando en qué consiste un password spray
En la versión 3.6, incluso, viene el módulo ya de Zerologon.
En Empire, los stagers vienen con dos técnicas de bypass de AMSI integradas para ser ejecutadas antes que el código del stager sobre la máquina con Windows 10. Esto es algo lógico, ya que si no se hace un bypass de AMSI quizá no se pueda ejecutar el stager de Empire nunca, ya que Defender o el AV que se tenga lo detectaría y evitaría dicha ejecución.
Instalación
Clonar el repositorio del proyecto
git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
sudo ./setup/install.sh
Una vez finalizado el clone, cambiar al directorio y ejecutar el script de instalación
cd Empire
sudo ./setup/install.sh
Durante la instalación nos solicitara una contraseña de negociación con el servidor
Es seguro dejar la generación random«[>] Enter server negotiation password, enter for random generation:»
Para iniciar empire
sudo ./empire
listeners
help
Los stagers son porciones de código a ejecutar en un agente, son el análogo de los payloads en metasploit.
Los stagers se implementan modularmente y se encuentran en ./lib/stagers.
Para generar un stager que se comunique con nuestro listener de empire que creamos en la sección anterior
usestager multi/launcher
set Listener Listener_http
execute
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.