Empire powerShell er en agent beregnet til post-exploitation. Empire virker på den måde at det har en række komponenter som kan eksekveret, lidt lige som Metasploits. Der findes:
Listeners – Fungerer lidt ligesom metasploit handlers, dette vil fange en session.
Stagers – Dette er din payload, dette er det du vil eksekvere på et udset target system.
Agents – Dette er det du bruger til at interagere med dit target system, du indhenter statistik og information eller kører shell kommandoer.
Nogle af grundene til at køre det over powershell er fordi PowerShell giver en række muligheder for at lave offensive angreb. Der er fx. fuld .Net adgang, applikations whitelisting, direkte forbindelse til Win32 API, mulighed for at samle skadelig binaries in hukommelse og det sidste og bedste, det er installeret som stardard på windows 7 og op efter.
Module Categories
Lige pt har Empire powershell følgende moduler:
- Code Execution – Måder at køre kode
- Collection – Post exploitation data opsamling
- Credentials – opsaml og brug credentials
- Exfiltration – Identificer egress kanaler
- Lateral Movement – bevæg dig rundt på netværket
- Management – Host management og auxilary
- Persistence – Overlev reboots
- Privesc – Rettigheds eskalering muligheder
- Recon – Test entry points (HTTP Basic Auth osv.)
- Situational Awareness – Netværks opmærksomhed
- Trollsploit – kun for lulz