Das Post-Exploitation-Framework Empire neu auferstanden – iX 01/2021

Bereits 2015 legte der PowerShell Post-Exploitation Agent Empire offen, wie hoch das Angriffspotential auf Windows-Systeme über die integrierte PowerShell ist. Denn mit Empire können Angreifer PowerShell-Hintergrundprozesse ausführen, ohne dass der Anwender etwas davon merkt. Nicht nur deshalb schätzten Penetrationstester das modular aufgebauten Empire-Framework, sondern auch weil seine Client-Server-Architektur eine verschlüsselte Kommunikation zwischen den einzelnen Komponenten erlaubt. Der in der iX 01/2021 veröffentlichte Artikel beschreibt die neuen Möglichkeiten der dritten Version des Frameworks, das nun mit … Weiterlesen

OSX persistent Backdoor mit Empire Framework und Bash Bunny

Post-Exploitation Frameworks werden immer dann eingesetzt, wenn Penetrationstester schon Zugriff auf ein Zielnetzwerk haben und von hier weitere Angriffe auf dem IT-Gerät oder im Netzwerk ausführen möchten.Ich habe in diesem Zusammenhang schon mehrfach über das Empire Framework berichtet. Es ist seit seiner Vorstellung während der BSides in Las Vegas im Juli 2015 ständig weiterentwickelt worden.Zum gegenwärtigen Zeitpunkt liegt das Werkzeug in der Version 2.1 vor. Mittlerweile sind die bisherigen Projekte PowerShell Empire und Python EmPyre … Weiterlesen

Eine Dropbox für das Empire Framework

Penetrationstester müssen sich manchmal mit Szenarien befassen in denen der ausgehende Datenverkehr in Netzwerken blockiert oder sehr stark eingegrenzt wird. Häufig existieren dann nur bestimmte Freigaben auf freigegebene Webseiten (Whitelists) oder zu bestimmten externen Servern. Ist dies der Fall, so können evtl. gesteuerte Zugriffe per DNS oder über File-Sharing-Services wie Dropbox bzw. Google Docs einen Datenaustausch ins externe Netzwerk (oder Internet) ermöglichen. In diesem Blogeintrag möchte ich mich mit der Möglichkeit befassen, Dropbox als Plattform … Weiterlesen

Windows Keylogger mittels Word Makro und Empire

Vor fast genau einem Jahr hatte ich gezeigt, wie man mittels des “Empire Frameworks” ein Makro erzeugen und in MS-Powerpoit einbinden kann. Mich hat heute interessiert, ob diese Methode bereits von Virenschutzprogrammen aktuell erkannt und ein Angriff damit automatisch verhindert wird. Als Testkandidat habe ich Symantec Endpoint Protection gewählt. Die Installation von “Empire” auf Kali Linux erfolgte mittels git ohne Probleme. Mittlerweile sind dort zwei “Stager” (“macro” und “scrambled_macro”) vorhanden, mit denen Makros erzeugt werden können. Der … Weiterlesen

USB-Rubber-Ducky Payload mit dem Empire-Framework erzeugen

In diesem kurzen Beitrag werde ich zeigen, wie man mit Hilfe des Empire-Frameworks Payload für den USB-Rubber-Ducky erzeugen kann. Den nachfolgenden Angriff auf mein ThinkPad konnte der Virenschutz, in diesem Fall Avast Free, nicht verhindern. Das folgende Video zeigt, wie zunächst eine Listener und danach mit dem Befehl usestager ein Payload für den USB-Rubber-Ducky erzeugt wird. Das so gefertigte Skript wird als inject.bin Datei auf dem Ducky gespeichert. Mein ThinkPad musste für den ersten Versuch … Weiterlesen

MS-Powerpoint Backdoor mit Empire Framework

Das Empire-Framework wurde erstmalig dem interessierten Publikum auf der IT-Security Konferenz BSides im August 2015 in Las Vegas vorgestellt. Das Werkzeug setzt das  Konzept von sogenannten „Listeners“, „Stagers“ und „Agents“  konsequent um. Alle zusammen schaffen die Möglichkeit Windows-Systeme zu penetrieren. Dabei kommt eine verschlüsselte Verbindung zum Nutzer und eine flexiblen Architektur zur Anwendung. Die Installation ist in Kali Linux mit wenigen Befehle erledigt: cd /opt git clone https://github.com/PowerShellEmpire/Empire.git cd Empire ./setup/install.sh ./empire Das folgende Video zeigt wie ein … Weiterlesen

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung