Post-Exploitation-Framework Empire: Tool für Penetrationstests und Red Teaming

Inhaltsverzeichnis

Empire ist ein Post-Exploitation-Framework, das es Angreifern und Penetrationstestern ermöglicht, nach einem erfolgreichen Eindringen in ein System verschiedene Aktionen automatisiert und verschlüsselt durchzuführen. Es basiert auf einer modularen Architektur und erlaubt das Ausführen von PowerShell-Hintergrundprozessen auf Windows-Systemen, ohne dass Nutzer dies bemerken. Die verschlüsselte Kommunikation zwischen den Komponenten macht das Framework besonders für Red Teaming und Penetrationstests attraktiv.

Das als PowerShell Empire bekannt gewordene Framework wurde im August 2015 auf der IT-Sicherheitskonferenz BSides in Las Vegas vorgestellt. Ziel war es, die verschiedenen offensiven PowerShell-Skripte unter einer einheitlichen und einfach zu bedienenden Oberfläche zusammenzuführen. Der Bedarf bestand, weil die existierenden PowerShell-Projekte im Alltag von Penetrationstestern schwer zu integrieren waren.

Themenschwerpunkt: Angriffe erkennen

Viele Sicherheitsvorfälle hinterlassen Spuren in Logfiles und bleiben oft trotzdem unbemerkt. Eine zentrale Loginstanz macht diese erste Stufe der Angriffserkennung effektiver und ist mit der richtigen Software schnell umgesetzt. Wenn es um das Erkennen und Identifizieren von Malware geht, dominieren kleine, spezialisierte Werkzeuge, die sich ergänzen. Wer eine umfangreiche SIEM und XDRPlattform als Open Source will, kommt an Wazuh nicht vorbei.

• Einfaches Logmanagement mit Logging Made Easy
• Wazuh: IT-Schutz mit Open Source
• Mit freien Werkzeugen auf Malwarepirsch
• Angreifer täuschen: Honeypots und Co.
• Das Post-Exploitation-Framework Empire

iX-tract

• Das Empire-Framework ist ein Tool für Post-Exploitation, das speziell für Red Teaming und Penetrationstests entwickelt wurde und auf einer modularen, plattformübergreifenden Architektur basiert.
• Seit der Übernahme durch BC-Security wird Empire aktiv weiterentwickelt und unterstützt neben PowerShell-Agents für Windows auch Python-Agents für die Interaktion mit Linux und macOS.
• Die Bedienung erfolgt über die Benutzeroberfläche Starkiller, die durch eine integrierte Chatfunktion besonders auf den Einsatz im Team ausgerichtet ist.
• Die Integration moderner Features macht den Umgang mit komplexen Angriffstechniken auch für weniger erfahrene Anwender zugänglich.

Auch nachdem die ursprünglichen Entwickler ab Anfang 2018 keine neuen Updates mehr bereitstellten, nutzte die Community das Projekt weiterhin. Ende 2019 übernahm die Firma BC-Security das Empire-Framework und entwickelte es umfassend weiter. Die modulare Architektur des Frameworks funktioniert nun mit den Programmiersprachen PowerShell unter Windows und Python auf Linux und macOS, was eine plattformübergreifende Anwendung ermöglicht. Zusätzlich gibt es seit 2021 die grafische Benutzeroberfläche Starkiller, die im März 2025 mit der Version 6.0 die ursprünglichen Empire-Clients vollständig abgelöst hat.

Das war die Leseprobe unseres heise-Plus-Artikels "Post-Exploitation-Framework Empire: Tool für Penetrationstests und Red Teaming". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.