「Empire 6.3.0」の概要と主な強化点
2025年12月13日、レッドチームとペネトレーションテスター向けの主要なポストエクスプロイトおよびアドバーサリーエミュレーションフレームワークである「Empire」のバージョン6.3.0が正式にリリースされました。この最新バージョンは、モジュール型アーキテクチャをさらに強化し、オペレーターに柔軟性を提供する堅牢なサーバー/クライアントモデルを提供します。主にPython 3で記述されており、暗号化された通信と統合されたGUI「Starkiller」が組み込まれており、セットアップ要件が大幅に簡素化されています。Starkillerは現在、gitサブモジュールとして直接パッケージ化されています。
強固なアーキテクチャとツール群
Empire 6.3.0の核となるのは、複数のオペレーターが同時にサーバーと対話できるマルチプレイヤーキャンペーンをサポートする柔軟なアーキテクチャです。今回のアップデートでは、HTTP/S、Malleable HTTP、OneDrive、Dropbox、PHPなど、幅広いリスナーがサポートされており、秘匿性の高いオペレーションのための多様な通信チャネルが確保されています。BC Securityによると、オペレーターはPowerShell、C#、Pythonにわたる400以上のツールからなる膨大なライブラリにアクセスできます。主要な統合機能として、シェルコード生成のための「Donut」や、インメモリ.NETアセンブリ実行を可能にする「Roslynコンパイラ」(Covenant提供)が含まれています。
高度な回避とエージェント機能
セキュリティ研究者は、ConfuserEx 2とInvoke-Obfuscationを使用したカスタマイズ可能なバイパスおよび統合された難読化技術を活用して、交戦中の検出を回避できます。Empire 6.3.0は、そのエージェント機能を拡張し、さまざまな環境をサポートします。このフレームワークは現在、PowerShell、Python 3、C#、IronPython 3、Goのエージェントをサポートしており、ターゲットシステム全体での幅広い互換性を実現しています。さらに回避策を強化するため、JA3/SおよびJARM回避技術と、アドバーサリーの行動をマッピングするためのMITRE ATT&CKフレームワークとの完全な統合が組み込まれています。
導入の簡素化
導入は、Docker、Kali Linux、ParrotOS、Debian 11/12、および最新のUbuntu 22.04/24.04 LTSリリースへのインストールサポートによって簡素化されています。ユーザーは、提供されているスタートアップスクリプトを使用してサーバーを迅速にデプロイするか、Starkillerウェブインターフェースにアクセスしてグラフィカルな管理エクスペリエンスを得ることができます。