PowerShell Empire 框架停止開發！

眾所周知，PowerShell現在可用於惡意軟體，因此Empire不需要存在了。

PowerShell Empire框架這種大名鼎鼎的滲透測試工具的開發工作本周已停止，原因是開發者表示該項目已實現了初始目標。

該項目由信息安全界幾位備受尊崇的人士創辦，於2015年正式啟動，誘因是多個由政府撐腰的黑客團伙開始使用微軟的PowerShell腳本語言作為平常的惡意軟體武器庫和攻擊模式的一部分。

當時，政府撐腰的黑客團伙使用PowerShell創建在計算機內存中運行的無文件惡意軟體，在磁碟上不留下任何蛛絲馬跡，使用PowerShell腳本作為一條後滲透（post-exploitation）途徑，以便在網路上蔓延、伺機潛入工作站，而不觸發任何安全警報。

由於PowerShell默認安裝在所有Windows 7及更高版本上，因此當時所有安全產品都信任該應用程序，其中許多安全產品檢測不出基於Powershell的攻擊。

為了解決這個問題，Empire的幾名開發者開發該項目，其工作方式類似大多數惡意軟體架構——這意味著PowerShell代理在「受感染」的計算機上運行，伺服器端指揮和控制系統用於控制該代理。

滲透測試人員和黑客當中都備受青睞

該項目在信息安全界備受追捧，安全研究人員、滲透測試人員和系統管理員經常將Empire框架部署到網路上，看看目前的防禦和安全軟體是否能夠檢測出任何攻擊或後滲透活動。

隨著時間的推移，Empire框架獲得了無需powershell.exe即可運行PowerShell腳本的功能，添加了用於部署另外眾多黑客工具或其他功能的模塊，甚至增添了用於在Mac和Linux系統上運行的一個Python組件。

這款工具之所以在信息安全界大受歡迎和推崇，是由於它不僅僅是另一款普通的滲透測試工具，還是一款旨在模仿實際對手採取的戰術的工具。

SANS在2108年介紹Empire的一份白皮書稱：「PowerShell Empire是一個獨特的攻擊框架，原因在於其功能和行為非常類似目前由政府撐腰的高級持續性威脅（APT）分子採用的那些工具。」

「也就是說，Empire可以有效地規避安全解決方案，偷偷運行，並使攻擊者能夠全面控制受攻擊的系統。」

白皮書繼續寫道：「尤其值得注意的是Empire的指揮和控制（C2）流量。Empire C2流量是非同步的、加密的，旨在與平常的網路活動混在一起。正是由於這些特性，防禦者很難識別企業中的PowerShell Empire C2流量。正因為如此，Empire受攻擊者歡迎的程度可能只會有增無減，尤其是隨著該框架日臻完善和成熟。」

遺憾的是，這果真成為了現實。雖然Empire在提高系統管理員對使用日漸廣泛的PowerShell引起關注方面發揮了至關重要的作用，但也被不法分子採用。

APT10、FIN7、APT29及其他黑客團伙也將該框架添加到各自的武器庫中。

2018年冬奧會在韓國舉辦期間，APT團伙Hades發動奧林巴斯Destroyer攻擊活動時用到了Empire。

2018年底，FIN7網路犯罪團伙也開始依賴Empire框架，而不僅僅是依賴Cobalt Strike威脅模擬軟體。

過去這幾年Empire在網路犯罪分子當中的使用率越來越高，以至於在2018年底，英國國家網路安全中心將Empire列入五個最危險的公開可用的黑客工具名單，與JBiFrost、Mimikatz、China Chopper和HTran列在一起。

威脅分子還在重大的勒索軟體事件中日益頻繁地使用它。安全研究員Vitali Kremez提到Trickbot和Dridex殭屍網路將Empire用於網路滲透和橫向移動，以傳播Ryuk和BitPaymer文件加密惡意軟體。一個例子是Trickbot和Ryuk狼狽為奸，依賴Empire工具包在受害者的網路上分發有效載荷。

這位研究員稱，由於「輕巧、可擴展，適合模塊化開發」，該框架在惡意軟體不法分子當中備受歡迎。

微軟和反病毒行業積極反應

然而隨著時間的推移，由於越來越多的黑客團伙開始轉而濫用PowerShell，網路安全行業積極應對，開發出在檢測PowerShell威脅方面做得更好的現代工具，包括在Empire框架本身上開發的那些工具。

Empire的首席開發員之一Chris Ross聲稱：「Empire項目的起初目標是展示PowerShell的後滲透功能，並讓人們意識到（當時）更先進的對手採用的PowerShell攻擊。」

「我們認為，我們已經實現了這個目標，並且欣喜地看到微軟在過去幾年提供了安全技術和改進；除此之外，EDR[端點檢測和響應]社區對基於PowerShell的攻擊更加關注。」

Ross補充道：「考慮到這一點，該項目已翻篇了，而且擁有更好功能的更新穎框架業已發布。所以是時候告別Empire了。我們不會再進一步更新或維護這個項目了。」

然而，Empire不是此類工具中的唯一一個。過去這幾年出現了類似的基於PowerShell的滲透測試工具，比如Apfell、Covenant、Silver和Faction。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！