Admin
Администратор
Недооценённый инструмент - Empire
Сегодня разберём инструмент PSE (PowerShell Empire)
Примечания: PS - Powershell, PSE - Powershell Empire
Но прежде чем углубиться в детали, скажу сразу следите за мной, потому что дальше будет системный и понятный разбор всего, что связано с пентестом
веб, сети, туннели, перехват трафика, физический доступ, атаки на беспроводные сети и не только, короче одним словом, полный спектр и прелести киберопераций.
Говорю просто, по делу, без лишней воды.
Продолжаем. У многих будут вопросы что это?
PSE - это фреймворк для постэксплуатации, написанный на PowerShell и Python. Он создан, чтобы удобно управлять скомпрометированной системой, не палясь лишний раз. А также закрепится в системе после успешного входа. Он удобен, красив и централизован.
Давайте поговорим о некоторых и самых лучших умений PSE:
1. Думаю самое главное для многих в PSE это байпасс(обход) антивируса с помощью "чистого" PS кода.
2. Второе тоже не маловажное умение, это поднять реверс шеллов для поддержания постоянного подключения к вашему C2 либо же панели, называйте как хотите.
3. Третье, это полная свобода действий над зараженной машиной, мы можем выполнять команды, качать файлы, снимать скриншоты, перехватывать логины, собирать дампы паролей, и так далее.
4. Четвертое, работа через много протоколов, HTTPS, SMB, TCP
Тут вы узнаете как:
1. Устанавливать и готовить фреймворк к атак.
2. Основные модули PSE для разведки, закрепления и постэксплуатации.
А также научитесь:
1. Искать уязвимости в сетях различными методами.
2. Эксплуатировать уязвимости Windows.
-----------------------------------------------------------------------------------------------
PSE Особенно хорошо заходит для атак на Windows системы, хотя кое-что работает и на macOS и Linux.
Главная фишка это бесфайловые атаки. Всё грузится прямо в оперативку, ничего не сохраняется на диск.
Результат? Меньше шансов быть замеченным антивирусом или другими системами защиты
Архитектура следующая:
Сервер и клиент для Linux/macOS написана на ЯП пайтон.
Клиент для Windows написана на PowerShell.
Но Empire используют не только для постэксплуатации, его также используют для фишинга, разведки по сети, обхода антивирусов, и атак на AD*
* Для работы с Active Directory в комплекте есть DeathStar, который является мощным скриптом на пайтон, который пробивает всю AD сеть через API. Всё что нужно это получить хоть какой то доступ в AD и дальше всё автоматом.
Важно! Из возможностей:
1. Интеграция с Metasploit и другими фреймворками
2. Сбор инфы по сети и выкачка нужных данных
3. Скриншоты, кейлоггеры, запись с микрофона
4. Вытаскивание паролей и хэшей из Windows
5. повышение прав
6. Закрепление в системе
7. Обратные шеллы, управление агентами.
------------------------------------------------------------------------------------------------------
Основной способ установки через клонирование git директории
git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
sudo ./setup/install.sh
В Kali Linux доступен более удобный способ установки через sudo apt install powershell-empire. И после установки необходимо запустить сначала сервер командой powershell-empire server.
А после этого клиент
./ps-empire client
!Сервер поднимается на портах 1337 и 5000!
-------------------------------------------------------------------------
Чтобы получить точку опоры в системе с помощью PowerShell Empire, сначала создаётся и запускается листенер это процесс, который ждёт входящих подключений от жертв.
Затем подготавливается стейджер это скрипт или файл, который на стороне жертвы запускает агента, связанного с листенером.
Далее этот стейджер доставляется и запускается на удалённой машине, после чего агент автоматически подключается обратно к листенеру, создавая обратное соединение. После установления связи можно загружать модули и выполнять дальнейшие действия.
Всё это выглядит просто, но требует аккуратности на каждом этапе. Для начала работы с листенерами используется команда uselistener с автодополнением. Среди популярных вариантов: dbx и onedrive это для облаков, требуют API-токены, но хуже обнаруживаются: http это самый простой и часто используемый, подходит для большинства задач, meterpreter используется при взаимодействии с Metasploit, redirector используется как промежуточное звено. Подробности по каждому листенеру можно узнать через команду info
Так, обычно выбирается http, так как он понятен, универсален и легко настраивается. Чтобы его использовать, задаётся адрес атаки, имя листенера и запускается команда execute. Все параметры, как и в других разделах Empire, настраиваются через set. Если требуется HTTPS, необходимо указать SSL сертификат. Проверить запущенные листенеры можно через команду list. Следующий шаг это создание стейджера, который будет использоваться для запуска агента. Чтобы просмотреть список доступных стейджеров, используется команда usestager. Стейджеры делятся по операционным системам, и выбираются в формате ОС/название. Например, multi/bash это bash скрипт, windows/launcher_bat это однострочный батник, osx/applescript это AppleScript и так далее. Некоторые, вроде windows/dll, позволяют интеграцию с другими инструментами, такими как Metasploit.
!!!! Пример настройки стейджера на базе батника: !!!!
выбирается нужный вариант через usestager, затем указываются параметры. Важные параметры Obfuscate (включает обфускацию, скрывая содержимое скрипта) и Delete (автоматическое удаление после запуска). Обфускация важна для скрытия следов в журналах PowerShell. Также можно задать, какой листенер использовать через set Listener. После настройки можно сохранить файл с пейлоадом командой execute с указанием пути через OutFile.
Готовый стейджер нужно доставить на машину жертвы. Способ доставки может быть любым, фишинг, использование уязвимостей, туннели. В самом Empire есть встроенный сервер, который можно запустить, если требуется взаимодействие через API или WebSocket. Команда для этого - sudo poetry run python empire.py server.
После запуска стейджера агент устанавливает соединение с листенером. Это означает, что обратный шелл активен, и можно управлять целевой машиной. Список активных агентов отображается через команду agents. Для управления конкретным агентом используется команда interact. Все действия превращаются в задания, результат которых можно посмотреть командой view с номером задачи.
Среди часто используемых команд числяться - whoami = информация о текущем пользователе, display = сведения о системе, download и upload = передача файлов, sleep = настройка интервалов между командами, shell = выполнение команд, ps = список процессов, keylog = включение кейлоггера, sherlock = поиск уязвимостей, script_import = загрузка PS скриптов, bypassuac = обход контроля UAC с повышением прав, mimikatz = извлечение учётных данных, psinject = внедрение в другой процесс, steal_token = кража токена другого процесса. Модули подключаются через команду usemodule, список которых можно просмотреть также с автодополнением.
Также, PSE включает в себя довольно обширную базу модулей, которые можно использовать прямо "из коробки". Эта база регулярно пополняется, и также можно расширять её за счет сторонних модулей. Модули могут быть написаны на PS или на пайтон, и каждый модуль имеет свой набор функций в зависимости от раздела, к которому он относится. Для подключения модуля в Empire используется команда usemodule <>. После этого модуль активируется и может быть запущен с помощью команды execute. Однако стоит помнить, что некоторые модули могут генерировать сигнатуры, которые могут быть заметны системами защиты, например IDS. Когда вы пытаетесь запустить такой модуль, Empire предупредит о потенциальных рисках, Module is not opsec safe, run? [y, N]. Это означает, что модуль может быть легко зафиксирован системами защиты, и нужно быть осторожным при его запуске. Модули в Empire классифицируются по нескольким критериям. Названия модулей обычно состоят из нескольких частей: 1) Язык программирования, на котором написан модуль (обычно это PS или питон, но можно их не указывать, так как они подразумеваются),
2) Раздел, в котором находится модул
3) Название конкретного инструмента или команды.
Пример полного имени модуля: powershell/management/mailraider/disable_security = модуль для управления безопасностью в PS, powershell/situational_awareness/network/powerview/get_subnet = модуль для получения информации о подсетях, python/collection/osx/clipboard = модуль для работы с буфером обмена на macOS, python/collection/linux/sniffer = модуль для сниффинга сетевого трафика на Linux. Кстати, Empire поддерживает не только Windows, но и macOS и Linux, хотя количество доступных модулей для этих систем гораздо меньше и чаще всего ограничено сбором информации. Принцип работы с модулями для macOS и Linux аналогичен Windows, но используется Python вместо PS, а модуль scriptimport заменяется на pythonscript. Таким образом, PSE предлагает гибкую и расширяемую платформу для постэксплуатации, которая поддерживает несколько операционных систем и предоставляет множество инструментов для различных видов атак и разведки.
НА ПОСЛЕДОК:
С версии Empire 3.1.+ был возвращен веб интерфейс. Новый веб-интерфейс называется Starkiller и его можно найти на GitHub https://github.com/BC-SECURITY/Starkiller.
Для установки Starkiller на Kali Linux: sudo apt install starkiller.
Для запуска : ./starkiller-<version>.AppImage --no-sandbox. Используются следующие учетные данные: логин: empireadmin, пароль: password123.
