Bereits 2015 legte der PowerShell Post-Exploitation Agent Empire offen, wie hoch das Angriffspotential auf Windows-Systeme über die integrierte PowerShell ist. Denn mit Empire können Angreifer PowerShell-Hintergrundprozesse ausführen, ohne dass der Anwender etwas davon merkt. Nicht nur deshalb schätzten Penetrationstester das modular aufgebauten Empire-Framework, sondern auch weil seine Client-Server-Architektur eine verschlüsselte Kommunikation zwischen den einzelnen Komponenten erlaubt.
Der in der iX 01/2021 veröffentlichte Artikel beschreibt die neuen Möglichkeiten der dritten Version des Frameworks, das nun mit einem grafischen Frontend (Starkiller) ausgestattet ist. In einem Szenario wird die praktische Arbeit mit der neuen Oberfläche erläutert.
Viele Unternehmen und Behörden erlauben ihren Mitarbeitern, aus dem firmeneigenen Netzwerk heraus uneingeschränkt Cloud-Services wie Dropbox, OneDrive oder Google Drive zu nutzen. Die Gefahren werden in diesem Zusammenhang häufig unterschätzt. Mithilfe des Empire-Frameworks und der vorhandenen Module wird gezeigt, wie ein solcher Angriff innerhalb eines Penetrationstests nachgestellt werden kann.