众所周知,PowerShell现在可用于恶意软件,因此Empire不需要存在了。
PowerShell Empire框架这种大名鼎鼎的渗透测试工具的开发工作本周已停止,原因是开发者表示该项目已实现了初始目标。
该项目由信息安全界几位备受尊崇的人士创办,于2015年正式启动,诱因是多个由政府撑腰的黑客团伙开始使用微软的PowerShell脚本语言作为平常的恶意软件武器库和攻击模式的一部分。
当时,政府撑腰的黑客团伙使用PowerShell创建在计算机内存中运行的无文件恶意软件,在磁盘上不留下任何蛛丝马迹,使用PowerShell脚本作为一条后渗透(post-exploitation)途径,以便在网络上蔓延、伺机潜入工作站,而不触发任何安全警报。
由于PowerShell默认安装在所有Windows 7及更高版本上,因此当时所有安全产品都信任该应用程序,其中许多安全产品检测不出基于Powershell的攻击。
为了解决这个问题,Empire的几名开发者开发该项目,其工作方式类似大多数恶意软件架构——这意味着PowerShell代理在“受感染”的计算机上运行,服务器端指挥和控制系统用于控制该代理。
渗透测试人员和黑客当中都备受青睐
该项目在信息安全界备受追捧,安全研究人员、渗透测试人员和系统管理员经常将Empire框架部署到网络上,看看目前的防御和安全软件是否能够检测出任何攻击或后渗透活动。
随着时间的推移,Empire框架获得了无需powershell.exe即可运行PowerShell脚本的功能,添加了用于部署另外众多黑客工具或其他功能的模块,甚至增添了用于在Mac和Linux系统上运行的一个Python组件。
这款工具之所以在信息安全界大受欢迎和推崇,是由于它不仅仅是另一款普通的渗透测试工具,还是一款旨在模仿实际对手采取的战术的工具。
SANS在2108年介绍Empire的一份白皮书称:“PowerShell Empire是一个独特的攻击框架,原因在于其功能和行为非常类似目前由政府撑腰的高级持续性威胁(APT)分子采用的那些工具。”
“也就是说,Empire可以有效地规避安全解决方案,偷偷运行,并使攻击者能够全面控制受攻击的系统。”
白皮书继续写道:“尤其值得注意的是Empire的指挥和控制(C2)流量。Empire C2流量是异步的、加密的,旨在与平常的网络活动混在一起。正是由于这些特性,防御者很难识别企业中的PowerShell Empire C2流量。正因为如此,Empire受攻击者欢迎的程度可能只会有增无减,尤其是随着该框架日臻完善和成熟。”
遗憾的是,这果真成为了现实。虽然Empire在提高系统管理员对使用日渐广泛的PowerShell引起关注方面发挥了至关重要的作用,但也被不法分子采用。
APT10、FIN7、APT29及其他黑客团伙也将该框架添加到各自的武器库中。
2018年冬奥会在韩国举办期间,APT团伙Hades发动奥林巴斯Destroyer攻击活动时用到了Empire。
2018年底,FIN7网络犯罪团伙也开始依赖Empire框架,而不仅仅是依赖Cobalt Strike威胁仿真软件。
过去这几年Empire在网络犯罪分子当中的使用率越来越高,以至于在2018年底,英国国家网络安全中心将Empire列入五个最危险的公开可用的黑客工具名单,与JBiFrost、Mimikatz、China Chopper和HTran列在一起。
威胁分子还在重大的勒索软件事件中日益频繁地使用它。安全研究员Vitali Kremez提到Trickbot和Dridex僵尸网络将Empire用于网络渗透和横向移动,以传播Ryuk和BitPaymer文件加密恶意软件。一个例子是Trickbot和Ryuk狼狈为奸,依赖Empire工具包在受害者的网络上分发有效载荷。
这位研究员称,由于“轻巧、可扩展,适合模块化开发”,该框架在恶意软件不法分子当中备受欢迎。
微软和反病毒行业积极反应
然而随着时间的推移,由于越来越多的黑客团伙开始转而滥用PowerShell,网络安全行业积极应对,开发出在检测PowerShell威胁方面做得更好的现代工具,包括在Empire框架本身上开发的那些工具。
Empire的首席开发员之一Chris Ross声称:“Empire项目的起初目标是展示PowerShell的后渗透功能,并让人们意识到(当时)更先进的对手采用的PowerShell攻击。”
“我们认为,我们已经实现了这个目标,并且欣喜地看到微软在过去几年提供了安全技术和改进;除此之外,EDR[端点检测和响应]社区对基于PowerShell的攻击更加关注。”
Ross补充道:“考虑到这一点,该项目已翻篇了,而且拥有更好功能的更新颖框架业已发布。所以是时候告别Empire了。我们不会再进一步更新或维护这个项目了。”
然而,Empire不是此类工具中的唯一一个。过去这几年出现了类似的基于PowerShell的渗透测试工具,比如Apfell、Covenant、Silver和Faction。
领取专属 10元无门槛券
私享最新 技术干货