Demostración en vídeo de este post
La semana pasada he mencionado algunas de las Mejoras y novedades en Empire Framework 4 así como los esfuerzos por parte de BC-Security para mejorar el codebase de la herramienta y lo cierto es que está quedando muy bien. En este post me centraré en explicar algunos de los módulos de post-explotación disponibles en Empire Framework 4, algunos de ellos ampliamente conocidos ya que vienen desde las versiones iniciales de Empire Framework, pero otros no tanto y que merece la pena explorar.
Este ya lleva unos cuantos años pero puede ser interesante. Desde las versiones de Windows 8.1 se ha deshabilitado por defecto el SPP Wdigest, por lo que las credenciales ya no se quedan almacenadas en texto plano en el proceso LSASS (old history). No obstante, por cuestiones de compatibilidad y debido a que algunos servicios como es el caso de IIS utilizan WDigest para procesos de autenticación, aún es posible habilitar esta característica nuevamente modificando la clave HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential en el registro del sistema operativo.
Una vez se ejecuta el módulo y dependiendo de cómo se ha configurado (con o sin NoLock) en el sistema comprometido se modificará la clave del registro indicada anteriormente y ahora, cuando el usuario vuelva a realizar el proceso de autenticación, la herramienta será capaz de leer en texto plano las credenciales del usuario. De hecho, se pueden utilizar en otros módulos que las requieran gracias al comando usecredential
Se trata de otro módulo básico y que también se encontraba disponible en versiones antiguas de Empire Framework. Permite ejecutar la instrucción “Set-MacAttribute” de PowerShell para manipular los atributos MACE de un fichero. Similar a lo que se hace con el comando “timestomp” en Meterpreter.
Phant0m es una herramienta reciente que se enfoca en evitar de forma “inteligente” que se generen logs en sistema comprometido. Se trata de una herramienta que se enfoca en descubrir los hilos de los servicios que generan logs y que se ejecutan con Svchost. La herramienta, una vez detecta dichos hilos procede a matarlos, por lo que dichos servicios son incapaces de generar logs y por lo tanto, no se produce “ruido” en el sistema que pueda alertar al administrador sobre la intrusión y las actividades que se están realizando. Sobre Phant0m se hablará con mucho más detalle en otro post dedicado a este proyecto.
La herramienta PrivescCheck se encuentra disponible en GitHub y desde hace un poco más de dos años se encuentra en desarrollo y mejor. Se trata de un script en Powershell que intenta detectar servicios mal configurados y otros detalles relevantes que le permitan a un atacante elevar privilegios en el sistema. Ha sido creada con el objetivo de darle continuidad al trabajo de Will Schroeder y Matt Graeber con PowerUP, herramienta que actualmente se encuentra abandonada.
Una de las novedades que trae Empire Framework es la posibilidad de integrarse con herramientas que se encuentran desarrolladas en C# como las que se encuentran en el proyecto GhostPack o SharpSploit, los agentes de C# tienen la ventaja de que incluyen algunas de las funcionalidades de los proyectos Covenant y Sharpire pero a diferencia de los módulos explicados anteriormente, su uso depende de que el plugin “csharpserver” se encuentre en ejecución y que se encuentre instalado el SDK de DotNet, algo que no es problema si durante la instalación de Empire Framework se ha marcado la opción “Y” cuando ha preguntado sobre la instalación de DotNet en el sistema. Afortunadamente utilizar el plugin es algo sencillo y se puede hacer rápidamente.
A continuación, se debe generar un stager del tipo windows/csharp_exe y finalmente ejecutar dicho binario en el sistema comprometido.
Ahora es posible utilizar cualquiera de los módulos disponibles en la categoría “csharp/”
Existen muchos más módulos en Empire Framework a día de hoy y muy probablemente habrán más en algunos meses, así que es una buena idea acostumbrarse a usarla y conocer cuantos más módulos mejor.
Un saludo y Happy Hack!
Adastra.