Empire開發者宣布框架停止維護

本周，黑客們使用的「Empire post-exploitation」框架已被停用，轉而使用其他新穎的工具進行攻擊活動。

周三，這個框架的開發者之一克里斯·羅斯(Chris Ross)宣布了這一消息。他說，該項目實現了最初的目的，即不僅展示了PowerShell的後開發能力，同時提高了使用PowerShell進行惡意操作的高級參與者的意識。

研究人員進一步解釋說，這項決定得到了「微軟在過去幾年提供的安全光學系統和改進」的支持。

輕量級和模塊化

2015年，開發者在BSides Las Vegas安全會議上發布了Empire。Empire展示了當處於攻擊的感染階段之外時，我們該如何使用PowerShell。它的開源性和模塊化架構使它能夠發展並滿足進攻性安全團隊的需求，這些團隊認為這是一個通過模模擬實威脅行動者的攻擊來測試防禦的機會。它的主要優點之一是使用與命令和控制伺服器的加密通信，特別是在大型網路中，這個優點使它很難被檢測到。攻擊者可以使用Empire來控制在受感染主機上植入的代理，並向前推進攻擊。進一步的開發消除了在受感染主機上使用powershell.exe的必要性。隨著時間的推移，許多利用模塊被添加到框架中，以滿足各種黑客需求，以及用於Linux和macOS系統的Python代理。

惡意使用也很合適

雖然它成為了滲透測試人員的常用工具，但是Empire也常常被用於惡意活動。研究人員發現，從國家黑客到金融驅動的團體，它被各種各樣的勢力使用。

2018年韓國冬奧會期間，APT集團Hades在其奧林匹克驅逐艦戰役中使用了帝國號。

2018年底，FIN7網路犯罪集團也開始依賴Empire框架，而不僅僅是Cobalt攻擊威脅模擬軟體。

威脅行為者也越來越頻繁地在引人注目的勒索軟體事件中使用它。安全研究人員維塔利?克雷米茲(Vitali Kremez)指出，欺騙機器人(trobot)和Dridex殭屍網路利用「Empire」進行網路開發和橫向移動，為Ryuk和BitPaymer提供文件加密惡意軟體。有一個例子是trick - ryuk夥伴關係，它依賴於Empire toolkit在受害者的網路上分發有效載荷。研究人員告訴Bleeping Computer，由於「輕量級和可擴展的模塊化開發」，該框架在惡意軟體操作人員中非常流行。

2018年，Ryuk和BitPaymer將Empire納入了他們的惡意活動，但其他參與有針對性攻擊的勒索軟體家族開始利用該工具。

研究人員認為，自從2.0版的框架比以前更加穩定之後，網路犯罪分子開始更加頻繁地使用Empire。這並不是唯一的例子。周三，另一名研究人員指出，巴斯德賓網站上有一個帝國特工。

雖然停止Empire對法律雙方的黑客都是一個打擊，但還有其他紅色團隊框架，Kremez沒有看到網路犯罪分子採用的框架。

不幸的是，靠阻止惡意行為者採用信息安全行業使用的工具來加強防禦，這明顯是不可能的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！