Hackerlar, Python 3 ile yenilenen PowerShell Empire sonrası bu yıl erken bir hediye alıyor. 2015 yılında piyasaya sürülen araç, 31 Temmuz’da orijinal geliştiricileri tarafından resmen durduruldu. Açık kaynaklı olarak framework(iskelet) 1.500 kereden fazla çatallandı ve hala denemek isteyen herkes için mevcut olmaya devam etti.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
Kablosuz ağların değerlendirilmesi ve kurumsal ağlar için tehdit emülasyonu konusunda uzmanlaşmış bir danışmanlık firması olan BC Security, projenin ofansif güvenlik için bir yararlı olduğuna inanmış ve onu geliştirmiştir. 23 aralık günü Empire 3.0 olarak tanıtılan yapılan değişikliklerle ilgili ayrıntılarla birlikte resmi olarak yayınlandı.
En dikkat çekici değişiklik Python 3’e dönüşümdür çünkü 2.7 sürümü için destek 1 Ocak 2020’de sona eriyor. Bu projeyi canlı tutmak için gerekli olmasının yanı sıra Empire’ın gelişmiş penetrasyon testi için hala Kali Linux dağıtımıyla ilgili olmasını sağlıyor.
Birleştirilen modüllerün de bazıları yeni eklemeler ve daha eski olanları orijinal PowerShell Empire iskeletinin geliştirici bölümünden gelen bir yenileme değişiklikler geçirdi.
- Mimikatz version 2.2.0 20191125
- Get-Subnet_Ranges
- Get-WinUpdates
- Get-KerberosServiceTicket
- Invoke-RID_Hijack
- Invoke-internal_monologue
- Get-LAPSPasswords
- Invoke-SMBLogin
- Sherlock
- Outlook Sandbox Evasion for Windows Macro launcher
- Invoke-CredentialPhisher
- Invoke-Phant0m
- Get-AppLockerConfig
- HostRecon
Yenilenen Empire için BC Güvenlik listelerinin önemli yükseltmelerinden biri de Windows’ta geliştirilmiş özelliktir. Bu yeni geliştirme seviyelerine ulaşma yolunda duran bazı hatalar giderildi. Bunlardan biri özellikle gizlemeyi zorlaştırdı ve Windows Defender’ı uyardı.
Zararlı Yazılım Önleme Tarama Arabirimi (AMSI) baypasları daha küçük boyutta olmaları ve güvenlik paketlerinin zaten onlar tarafından tetiklenmesi nedeniyle farklı bir imzaya sahip olmaları için güncelleştirilmiştir.
Mimikatz 2.2.0’ı iskelete eklemek, Windows 10 sürümlerinde ve bu işletim sisteminin belleğinde saklanan hash, parola saldırılarının yürütülmesini mümkün kıldı.
Bir başka büyük gelişme, JA3/S imza rastgele randomizasyonunun uygulanmasıdır. JA3, kötü amaçlı şifrelenmiş trafiği tanımlamak için yararlı olan TLS tokalaşmalarını parmak izi ile bastırma yöntemidir.
BC Security, yeni PowerShell Empire sömürü iskeletinin geliştirilmesini sürdürmeyi ve özellik kümesini genişletmeyi planlıyor.
Bu sömürü araç kitleri, penetrasyon test cihazlarının bir örgütün güvenliğini araştırması için tasarlanmış olsalar da, gerçek tehdit aktörleri için tercih edilen silahlardır ve Empire bir istisna değildir.