后滲透測試神器Empire 3.0發布
責編:gltian |2019-12-25 14:41:56經歷漫長的等待后,后滲透測試神器 Empire 終于迎來了多項重大功能升級的 3.0 版本(https://github.com/BC-SECURITY/Empire/)。
Empire 是一款類似 Metasploit 的 PowerShell 可視化后期滲透測試框架,建立在密碼安全通信和靈活的架構上。Empire 實現了無需 powershell.exe 就可運行 PowerShell 代理的功能,可快速部署后期漏洞利用模塊,從鍵盤記錄器到 Mimikatz,并且能夠適應通信躲避網絡檢測,所有的這些功能都封裝在一個以實用性為重點的框架中。
根據 BC-security 的官方博客,Empire3.0 相比之前的 2.5 版本有了以下重大升級:
01、移植到Python3x
從過去的純 Python 2.7 移植到 2.7/3.x 環境。鑒于 Python 2.7 即將于 2019 年底走到盡頭,Debian 已經開始放棄對所有 Python 2.7 程序包的支持。Debian 停止支持已經影響到了 Kali 對多個工具的支持,其中就包括 Empire。移植 Python3.x 后,能夠確保 Empire 在未來很長一段時間都能獲得 Kali 的支持。
02、增加大量新的Powershell功能模塊
除了向 Python3 移植外,Empire3.0 還增加了大量新功能模塊(其中有些模塊已經出現在開發分支版本中)。
03、增強的Windows入侵功能
通過更新 Base Launcher 消除了原有的一些簽名和導致被 Windows Defender 發現的 bug。
04、Mimikatz升級到2.2.0版本
Mimikatz 是當下最流行的后滲透測試工具之一,能夠從內存中提取哈希值、密碼等信息。在 Empire3.0 中, Mimikatz 升級到 2.2.0 版本,使得攻擊 Windows 10(尤其是1903)成為可能。另外一個重要的新功能是加入了數據保護 API (DPAPI) 支持 Powershell PSCredential 和 SecureString。最新版本的 Mimkatz 已經在 Github 上架(https://github.com/gentilkiwi/mimikatz)
05、JA3/S簽名隨機化
JA3 是 TLS 握手的指紋機制,是識別惡意加密流量的推薦方案。Akamai 發布的威脅研究報告顯示,如今超過 80% 的惡意流量都流經加密通道。因此,很多防御者也開始采用這種技術。
BC-security 在博客中指出,Powershell 和 Empire 框架未來將仍會是 APT、惡意軟件作者和紅隊最主要的攻擊矢量之一。模擬主要攻擊威脅而不是去部署最新潮的攻擊性技術依然是企業最有效的安全策略之一。BC-security 還承諾未來繼續不斷完善和更新 Empire 框架,一些規劃中的更新包括集成更多 C# 模塊,以及增加一個多用戶 GUI。
相關閱讀
新型自動化滲透測試工具:ASM
測評:讓自動化滲透測試更方便可靠的HaXM