Создатели PowerShell-фреймворка Empire, предназначенного для тестирования систем на проникновение, объявили о закрытии проекта. Свое решение эксперты объяснили тем, что их продукт выполнил свою миссию.

По словам авторов Empire, его создавали с целью привлечения внимания к PowerShell-атакам и демонстрации их опасности. К настоящему моменту защита от бесфайловых зловредов стала общей практикой ИБ-индустрии. Создатели фреймворка считают, что разработчики защитных систем выпустили достаточно эффективных продуктов, чтобы изначальную цель проекта можно было считать достигнутой. По этой причине они прекращают развитие и поддержку Empire. Пентест-специалистам предлагается использовать более новые и совершенные средства.

Проект Empire был запущен в 2015 году, когда бесфайловые зловреды на базе Microsoft PowerShell появились в арсенале нескольких продвинутых кибергруппировок. Поскольку, начиная с Windows 7, PowerShell является неотъемлемым компонентом операционной системы, защитные решения по умолчанию воспринимали скрипты оболочки как безопасные. По этой причине вредоносная деятельность с их использованием оставалась незамеченной. При помощи PowerShell-скриптов киберпреступники загружали и выполняли сторонний код, а также перемещались по корпоративным сетям.

Создатели Empire решили разработать систему, которая функционировала бы по тем же принципам, что и вредоносные PowerShell-компоненты. Как и в реальных кибератаках, программный агент Empire «заражал» компьютеры и открывал канал коммуникации с управляющим сервером.

Таким образом эксперты по безопасности могли проверить, справляются ли их системы с обнаружением и блокировкой бесфайлового вредоносного ПО. В отличие от многих других пентест-утилит этот фреймворк позволял смоделировать атаку максимально правдоподобно. Например, агент передавал все данные асинхронно и в зашифрованном виде, что сильно затрудняло их обнаружение в потоке корпоративного трафика.

Позже фреймворк получил также возможность выполнять PowerShell-сценарии без запуска файла powershell.exe, расширил набор средств для взлома, стал мультиплатформенным: в нем появились компоненты для запуска в macOS и Linux.

Фреймворк оценили и преступники — следы Empire обнаружились в атаках FIN7, APT29 и других APT-группировок. В 2018 году специалисты Центра кибербезопасности Великобритании включили решение в список наиболее опасных легальных утилит.

Один из самых известных бесфайловых зловредов — троян Lurk, с помощью которого киберпреступники украли у банков почти 3 млрд рублей. Эти технологии также применяются в шпионском ПО, программах-кликерах, вымогателях и системах удаленного управления.

Категории: Другие темы