PowerShell Empire 框架使命已达,停止开发维护
编译:奇安信代码卫士团队
本周,著名的渗透测试工具 PowerShell Empire 框架已停止开发维护,其创始人表示该项目已实现最初的目标。
该项目最初由信息安全社区的几名前辈于2015年牵头落地,起因是当时多个国家黑客组织开始使用微软开发的 PowerShell 脚本语言作为正常恶意软件武器库和操作方式的一部分。
当时,国家黑客组织使用 PowerShell 创建无文件恶意软件,它们在内存中运行却不留痕迹;黑客使用 PowerShell 脚本作为利用后向量,在网络中和工作站中移动而不会触发任何安全警报。
由于Windows 7 和后续版本中默认安装 PowerShell,因此该应用得到所有安全产品的信任,其中很多产品并不会检测基于 PowerShell 的攻击。
为了解决这一问题,Empire的作者将该项目建模为与大多数恶意软件架构类似的运作方式:在“受感染”计算机上运行的 PowerShell 代理和用于控制该代理的服务器端命令和控制系统。
渗透测试工程师和黑客的宠儿
该项目在信息安全社区得到大批拥趸。安全研究员、渗透测试人员和系统管理员通常在网络上部署 Empire 框架来查看现有的防御措施和安全软件是否能够检测到任何攻击或利用后活动。
随着时间的推移,Empire框架获得了无需powershell.exe 即可运行 PowerShell 脚本的能力,增加了用于部署多种其它黑客工具或额外能力的模块,设置还增加了运行于 Mac 和 Linux 系统上的一个 Python 组件。
由于该工具并非不仅仅是一款平庸的渗透测试工具,而是一种模仿实际对手战术的模型,因此它得到了信息安全社区的大规模关注和认可。
一份2018年的 SANS白皮书评价Empire 时指出,“PowerShellEmpire 是一种独特的攻击框架加,因为它的能力和行为非常类似于当前国家 APT 组织。也就是说 Empire 能够有效地规避安全解决方案,以隐蔽方式运行并使攻击者完全控制受攻陷系统。尤其值得注意的是 Empire 的命令和控制流量。Empire 的 C2 流量是异步加密的,并旨在融入正常的网络活动。这些特征使得防御人员非常难以识别企业中的 PowerShell Empire C2 流量。因此,随着不断的发展成熟,Empire 只会越来越受到攻击者的欢迎。”
遗憾的是,白皮书中的言论城镇。虽然 Empire 在提高系统管理员使用 PowerShell 方面起到重要作用,但它也被恶意人员盯上了。多个黑客组织如 APT 29、FIN 7等已将 Empire 纳入武器库。
多年来,越来越多的网络犯罪分子都在使用 Empire,在2018年年末,英国国家网络安全中心甚至将 Empire 列为五大最危险的公开可获得的黑客工具。其它四款是 JBiFrost、Mimikatz、China Chopper 和 HTran。
微软和反病毒行业的反应
然而,随着时间的流逝和越来越多的黑客组织开始滥用 PowerShell,网络安全行业开发了能够更好地检测 PowerShell 威胁的现代工具,包括基于 Empire 框架本身开发的工具。
Empire 框架的首席开发人员之一 Chris Ross 表示,
Empire 项目最初的目标是展示 PowerShell 的利用后能力并且提高人们对当时更高阶对手所使用的 PowerShell 攻击的意识。我们认为我们已经实现了这一目标,而且非常自豪地看到微软在过去几年中提供了安全工具和功能改进:另外EDR(端点检测和响应)社区提高了对基于 PowerShell 攻击的关注。考虑到这一点,该项目的时代已去,更新、功能更强大的框架已发布。因此是时候对 Empire 说再见了。我们将不会更新或维护该项目。
不过,Empire也并非唯一的时代宠儿。此前出现过的类似渗透测试工具还包括 Apfell、Covenant、Silver 和 Faction等。
原文链接
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。