PowerShell Empire 框架停止开发！

众所周知，PowerShell现在可用于恶意软件，因此Empire不需要存在了。

PowerShell Empire框架这种大名鼎鼎的渗透测试工具的开发工作本周已停止，原因是开发者表示该项目已实现了初始目标。

该项目由信息安全界几位备受尊崇的人士创办，于2015年正式启动，诱因是多个由政府撑腰的黑客团伙开始使用微软的PowerShell脚本语言作为平常的恶意软件武器库和攻击模式的一部分。

当时，政府撑腰的黑客团伙使用PowerShell创建在计算机内存中运行的无文件恶意软件，在磁盘上不留下任何蛛丝马迹，使用PowerShell脚本作为一条后渗透（post-exploitation）途径，以便在网络上蔓延、伺机潜入工作站，而不触发任何安全警报。

由于PowerShell默认安装在所有Windows 7及更高版本上，因此当时所有安全产品都信任该应用程序，其中许多安全产品检测不出基于Powershell的攻击。

为了解决这个问题，Empire的几名开发者开发该项目，其工作方式类似大多数恶意软件架构——这意味着PowerShell代理在“受感染”的计算机上运行，服务器端指挥和控制系统用于控制该代理。

渗透测试人员和黑客当中都备受青睐

该项目在信息安全界备受追捧，安全研究人员、渗透测试人员和系统管理员经常将Empire框架部署到网络上，看看目前的防御和安全软件是否能够检测出任何攻击或后渗透活动。

随着时间的推移，Empire框架获得了无需powershell.exe即可运行PowerShell脚本的功能，添加了用于部署另外众多黑客工具或其他功能的模块，甚至增添了用于在Mac和Linux系统上运行的一个Python组件。

这款工具之所以在信息安全界大受欢迎和推崇，是由于它不仅仅是另一款普通的渗透测试工具，还是一款旨在模仿实际对手采取的战术的工具。

SANS在2108年介绍Empire的一份白皮书称：“PowerShell Empire是一个独特的攻击框架，原因在于其功能和行为非常类似目前由政府撑腰的高级持续性威胁（APT）分子采用的那些工具。”

“也就是说，Empire可以有效地规避安全解决方案，偷偷运行，并使攻击者能够全面控制受攻击的系统。”

白皮书继续写道：“尤其值得注意的是Empire的指挥和控制（C2）流量。Empire C2流量是异步的、加密的，旨在与平常的网络活动混在一起。正是由于这些特性，防御者很难识别企业中的PowerShell Empire C2流量。正因为如此，Empire受攻击者欢迎的程度可能只会有增无减，尤其是随着该框架日臻完善和成熟。”

遗憾的是，这果真成为了现实。虽然Empire在提高系统管理员对使用日渐广泛的PowerShell引起关注方面发挥了至关重要的作用，但也被不法分子采用。

APT10、FIN7、APT29及其他黑客团伙也将该框架添加到各自的武器库中。

2018年冬奥会在韩国举办期间，APT团伙Hades发动奥林巴斯Destroyer攻击活动时用到了Empire。

2018年底，FIN7网络犯罪团伙也开始依赖Empire框架，而不仅仅是依赖Cobalt Strike威胁仿真软件。

过去这几年Empire在网络犯罪分子当中的使用率越来越高，以至于在2018年底，英国国家网络安全中心将Empire列入五个最危险的公开可用的黑客工具名单，与JBiFrost、Mimikatz、China Chopper和HTran列在一起。

威胁分子还在重大的勒索软件事件中日益频繁地使用它。安全研究员Vitali Kremez提到Trickbot和Dridex僵尸网络将Empire用于网络渗透和横向移动，以传播Ryuk和BitPaymer文件加密恶意软件。一个例子是Trickbot和Ryuk狼狈为奸，依赖Empire工具包在受害者的网络上分发有效载荷。

这位研究员称，由于“轻巧、可扩展，适合模块化开发”，该框架在恶意软件不法分子当中备受欢迎。

微软和反病毒行业积极反应

然而随着时间的推移，由于越来越多的黑客团伙开始转而滥用PowerShell，网络安全行业积极应对，开发出在检测PowerShell威胁方面做得更好的现代工具，包括在Empire框架本身上开发的那些工具。

Empire的首席开发员之一Chris Ross声称：“Empire项目的起初目标是展示PowerShell的后渗透功能，并让人们意识到（当时）更先进的对手采用的PowerShell攻击。”

“我们认为，我们已经实现了这个目标，并且欣喜地看到微软在过去几年提供了安全技术和改进；除此之外，EDR[端点检测和响应]社区对基于PowerShell的攻击更加关注。”

Ross补充道：“考虑到这一点，该项目已翻篇了，而且拥有更好功能的更新颖框架业已发布。所以是时候告别Empire了。我们不会再进一步更新或维护这个项目了。”

然而，Empire不是此类工具中的唯一一个。过去这几年出现了类似的基于PowerShell的渗透测试工具，比如Apfell、Covenant、Silver和Faction。