Empire开发者宣布框架停止维护

 Change 嘶吼专业版 

使用的“Empire post-exploitation”框架已被停用，转而使用其他新颖的工具进行***活动。

周三，这个框架的开发者之一克里斯·罗斯(Chris Ross)宣布了这一消息。他说，该项目实现了最初的目的，即不仅展示了PowerShell的后开发能力，同时提高了使用PowerShell进行恶意操作的高级参与者的意识。

研究人员进一步解释说，这项决定得到了“微软在过去几年提供的安全光学系统和改进”的支持。

轻量级和模块化

2015年，开发者在BSides Las Vegas安全会议上发布了Empire。Empire展示了当处于***的感染阶段之外时，我们该如何使用PowerShell。它的开源性和模块化架构使它能够发展并满足进攻性安全团队的需求，这些团队认为这是一个通过模仿真实威胁行动者的***来测试防御的机会。它的主要优点之一是使用与命令和控制服务器的加密通信，特别是在大型网络中，这个优点使它很难被检测到。***者可以使用Empire来控制在受感染主机上植入的代理，并向前推进***。进一步的开发消除了在受感染主机上使用powershell.exe的必要性。随着时间的推移，许多利用模块被添加到框架中，以满足各种***需求，以及用于Linux和macOS系统的Python代理。

恶意使用也很合适

虽然它成为了***测试人员的常用工具，但是Empire也常常被用于恶意活动。研究人员发现，从国家***到金融驱动的团体，它被各种各样的势力使用。

2018年韩国冬奥会期间，APT集团Hades在其奥林匹克驱逐舰战役中使用了帝国号。

2018年底，FIN7网络犯罪集团也开始依赖Empire框架，而不仅仅是Cobalt***威胁仿真软件。

威胁行为者也越来越频繁地在引人注目的勒索软件事件中使用它。安全研究人员维塔利•克雷米兹(Vitali Kremez)指出，欺骗机器人(trobot)和Dridex僵尸网络利用“Empire”进行网络开发和横向移动，为Ryuk和BitPaymer提供文件加密恶意软件。有一个例子是trick - ryuk伙伴关系，它依赖于Empire toolkit在受害者的网络上分发有效载荷。研究人员告诉Bleeping Computer，由于“轻量级和可扩展的模块化开发”，该框架在恶意软件操作人员中非常流行。

2018年，Ryuk和BitPaymer将Empire纳入了他们的恶意活动，但其他参与有针对性***的勒索软件家族开始利用该工具。

研究人员认为，自从2.0版的框架比以前更加稳定之后，网络犯罪分子开始更加频繁地使用Empire。这并不是唯一的例子。周三，另一名研究人员指出，巴斯德宾网站上有一个帝国特工。

虽然停止Empire对法律双方的***都是一个打击，但还有其他红色团队框架，Kremez没有看到网络犯罪分子采用的框架。

不幸的是，靠阻止恶意行为者采用信息安全行业使用的工具来加强防御，这明显是不可能的。 

既无法构建对合法信息安全行业有用的***性工具，又无法防止恶意行为者滥用它们。Empire写这篇文章是为了教育和推动公共产业的特殊理念。--------Empire的免责声明

标签：框架,网络,恶意,人员,开发者,使用,Empire
来源： https://blog.51cto.com/u_15127538/2706846