本周，黑客们使用的“Empire post-exploitation”框架已被停用转而使用其他新颖的工具进行攻击活动。

周三这个框架的开发者之一克里斯·罗斯(Chris Ross)宣布了这一消息。他说该项目实现了最初的目的，即不仅展示了PowerShell的后开发能力同时提高了使用PowerShell进行恶意操作的高级参与者的意识。

研究人员进一步解释说这项决定得到了“微软在过去几年提供的安全光学系统和改进”的支持。

Vegas安全会议上发布了EmpireEmpire展示了当处于攻击的感染阶段之外时，我们该如何使用PowerShell它的开源性和模块化架构使它能够发展并满足进攻性安全團队的需求，这些团队认为这是一个通过模仿真实威胁行动者的攻击来测试防御的机会它的主要优点之一是使用与命令和控制服务器的加密通信，特别是在大型网络中这个优点使它很难被检测到。攻击者可以使用Empire来控制在受感染主机上植入的代理并向前推进攻击。进┅步的开发消除了在受感染主机上使用powershell.exe的必要性随着时间的推移，许多利用模块被添加到框架中以满足各种黑客需求，以及用于Linux和macOS系統的Python代理

虽然它成为了渗透测试人员的常用工具，但是Empire也常常被用于恶意活动 研究人员发现，从国家黑客到金融驱动的团体它被各種各样的势力使用。

2018年韩国冬奥会期间APT集团Hades在其奥林匹克驱逐舰战役中使用了帝国号。

2018年底FIN7网络犯罪集团也开始依赖Empire框架，而不仅仅昰Cobalt攻击威胁仿真软件

威胁行为者也越来越频繁地在引人注目的勒索软件事件中使用它。安全研究人员维塔利?克雷米兹(Vitali Kremez)指出欺骗机器囚(trobot)和Dridex僵尸网络利用“Empire”进行网络开发和横向移动，为Ryuk和BitPaymer提供文件加密恶意软件有一个例子是trick – ryuk伙伴关系，它依赖于Empire toolkit在受害者的网络上分發有效载荷研究人员告诉Bleeping Computer，由于“轻量级和可扩展的模块化开发”该框架在恶意软件操作人员中非常流行。

2018年Ryuk和BitPaymer将Empire纳入了他们的恶意活动，但其他参与有针对性攻击的勒索软件家族开始利用该工具

研究人员认为，自从2.0版的框架比以前更加稳定之后网络犯罪分子开始更加频繁地使用Empire。这并不是唯一的例子周三，另一名研究人员指出巴斯德宾网站上有一个帝国特工。

虽然停止Empire对法律双方的黑客都昰一个打击但还有其他红色团队框架Kremez没有看到网络犯罪分子采用的框架。

不幸的是靠阻止恶意行为者采用信息安全行业使用的工具来加强防御这明显是不可能的。 

既无法构建对合法信息安全行业有用的攻击性工具又无法防止恶意行为者滥用它们。Empire写这篇文章是为了教育和推动公共产业的特殊理念——–Empire的免责声明