s0363-empire - RunkIntel

# Empire > Tipo: **tool** · S0363 · [MITRE ATT&CK](https://attack.mitre.org/software/S0363) ## Descrição [[s0363-empire|Empire]] é um framework de administração remota e pós-exploração de código aberto e multiplataforma, disponível públicamente no GitHub. Originalmente desenvolvido pelo Veris Group ATD team em 2015, o Empire combina capacidades de C2, pós-exploração e escalada de privilégios em uma plataforma modular. Os agentes de pós-exploração são escritos em PowerShell puro para Windows e em Python para Linux/macOS, permitindo execução fileless via AMSI bypass técnicas. A ferramenta foi uma das cinco destacadas pelo CISA/Five Eyes como amplamente utilizada por APTs. Em contextos maliciosos, Empire é usado após comprometimento inicial para estabelecer C2 robusto, realizar reconhecimento de rede, executar módulos de credential dumping (incluindo integração com [[mimikatz|Mimikatz]]), mover-se lateralmente via DCOM/PSRemoting, e exfiltrar dados. Múltiplos grupos APT e de cibercrime utilizam Empire: [[g0091-silence|Silence]], [[g0051-fin10|FIN10]], [[g0010-turla|Turla]], [[g0090-wirte|WIRTE]], [[g0034-sandworm|Sandworm Team]], [[g1040-play|Play]], [[g1016-fin13|FIN13]], [[g0073-apt19|APT19]] e [[g0119-indrik-spider|Indrik Spider]]. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1125-video-capture|T1125 - Video Capture]] - [[t1021-003-distributed-component-object-model|T1021.003 - Distributed Component Object Model]] - [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay|T1557.001 - LLMNR/NBT-NS Poisoning and SMB Relay]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0091-silence|Silence]] - [[g0051-fin10|FIN10]] - [[g0010-turla|Turla]] - [[g0090-wirte|WIRTE]] - [[g0034-sandworm|Sandworm Team]] - [[g1040-play|Play]] - [[g0065-leviathan|Leviathan]] - [[g1016-fin13|FIN13]] - [[g0073-apt19|APT19]] - [[g0119-indrik-spider|Indrik Spider]] ## Relevância LATAM/Brasil **Relevância LATAM/Brasil:** O [[g1016-fin13|FIN13]], grupo financeiramente motivado com foco extensivo no México e América Latina, utilizou Empire em operações de intrusão prolongada contra organizações financeiras e de varejo da região. O grupo [[g1040-play|Play]] - que opera no Brasil - e o [[g0119-indrik-spider|Indrik Spider]] (Evil Corp) também incorporam Empire para movimento lateral e persistência antes do deploy de ransomware. Aproximadamente 94,8% das amostras Empire analisadas alvejam sistemas Windows, predominante nos ambientes corporativos brasileiros. ## Detecção **Fontes de dados recomendadas:** - **Windows Event ID 4104 (PowerShell Script Block Logging):** Conteúdo de script PowerShell antes da execução - captura payloads Empire mesmo ofuscados; detectar `system.net.webclient` + `frombase64string` em conjunto - **Sysmon Event ID 1 (ProcessCreaté):** Flags de PowerShell suspeitos: `-nop -sta -noni -w hidden -enc` em combinação - padrão padrão de stager Empire - **Sysmon Event IDs 19/20/21 (WMI Events):** Criação de WmiEventFilter, WmiEventConsumer e bindings - mecanismo de persistência Empire via WMI - **Sysmon Event ID 3 (NetworkConnect):** Processos `powershell.exe` iniciando conexões HTTP/HTTPS periódicas com jitter - padrão de C2 beaconing do agent Empire **Regras de detecção:** - Sigma: `proc_creation_win_hktl_empire_powershell_launch.yml` - detecta combinação de flags `-nop -sta -noni -w hidden -enc` (SigmaHQ; ID: 79f4ede3-402e-41c8) - Splunk: `bc1dc6b8-c954-11eb-bade-acde48001122` - PowerShell com `webclient` + `frombase64string` (Splunk Threat Research) - Sigma: `posh_ps_potential_invoke_mimikatz.yml` - módulo Mimikatz integrado ao Empire detectado via script block logging ## Referências Adicionais - [MITRE ATT&CK - S0363](https://attack.mitre.org/software/S0363) - [SigmaHQ - Empire PowerShell Launch Parameters](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_hktl_empire_powershell_launch.yml) - 2024 - [Qualys - Dissecting the Empire C2 Framework](https://blog.qualys.com/vulnerabilities-threat-research/2022/12/12/dissecting-the-empire-c2-framework) - 2022-12-12 - [CISA/Five Eyes - Top Publicly Available Hacking Tools](https://www.cisa.gov/news-events/alerts/2018/10/11/alert-ta18-284a-publicly-available-tools-seen-atp-activity) - Empire identificado como uma das 5 ferramentas mais usadas por APTs