たのしいPowerShell Empire

monochrojazz@東海道らぐ　2017/03/04

自己紹介のようなもの● @monochrojazz(28)● セキュリティに興味● 致命的な音ゲーマー

音ゲーコントローラを自作アプリも自作(Android)

Empire

● https://www.powershellempire.com/

● PowerShellで作られたpost-exploitエージェント

● 180のexploitを含むpost-exploitモジュール(mimikatzを含む)

● サーバ側実装はPythonベース

注意

脆弱性スキャンや攻撃をインターネット上のサーバに対して行うのは違法です（「不正アクセス行為の禁止などに関する法律」）

あくまで自宅のホームネットワーク内で

EmpireのDisclaimerにも

”Empire was written in the interest of education and pushing forward particular ideas in the public industry.”

Empire Setup

Python2系を要する　今回はpyenvでセットアップ

git clone https://github.com/EmpireProject/Empire

sudo apt-get install -y python-dev python-m2crypto swig python-pip libssl-dev

pyenv local 2.7.12

./setup/install.sh

pip install M2Crypto

python empire

Empire Quick Start● listenerのセットアップ

● stagerのセットアップ

● (Windows側でstagerの実行、セッション生成)

● interact (セッション名)

● 各種post-exploit moduleの実行

が基本的な流れ

● 各々も基本はコマンド→info→set (param) (value)→execute の流れ

● ちゃんとタブ補完も完備

Setup Listener

C2サーバの通信先を設定

5分ごとに通信

Generate Stager

stagerを生成

多くのstager種類ここでstagerを生成し何らかの手段で

ターゲットに実行させる

Interact with Agentstagerが実行されるとセッションが生成される

あとは実行した権限内で任意に操作が可能

● ps,shell,downloadなど他良く使う機能はコマンド化されている

Usemodule

Mimikatzメモリからのパスワード抜出

● 180のmoduleを用いて数々の探索・攻撃が可能

Powerviewネットワーク探索

Powerup権限昇格攻撃

mimikatz/logonpasswords

管理者権限があればパスワードをメモリから平文で抜き出せる

Process Injection　(win7)

● プロセスをInjectして自身を隠蔽可能

● 最新のWindows10では動作しない

explorerのPIDをpsで確認

explorerにinject成功

● 上の例でexplorerのGUIを切ってもプロセスは生き続ける

必要項目を設定し実行

● セキュリティは攻撃者との知能戦

● 攻撃者の目的達成のための合理的アイデアに防御側もそれに合理的アイデアで対抗する（攻撃者の手法の数々には毎度感心させられる）

● そしてそのアイデアのためには確かな技術的素養が必要

● だからセキュリティは面白い

● ・・・趣味レベルではな！

セキュリティの面白さ