killvxk/analyzing-powershell-empire-artifacts
skills/analyzing-powershell-empire-artifacts/SKILL.md
通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-powershell-empire-artifactsInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 17, 2026, 4:23 AM265.4s3 files scanned
SKILL.md
- name:
- analyzing-powershell-empire-artifacts
- description:
- 通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
- domain:
- cybersecurity
- subdomain:
- threat-hunting
- tags:
- [PowerShell-Empire, threat-hunting, Script-Block-Logging, base64, stager, C2, MITRE-ATT&CK, T1059.001, forensics]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
分析 PowerShell Empire 工件
概述
PowerShell Empire 是一个由监听器(listener)、stager 和 agent 组成的后渗透框架。其工件在 Windows 事件日志中留有可检测的痕迹,尤其是 PowerShell 脚本块日志(Script Block Logging,事件 ID 4104)和模块日志(Module Logging,事件 ID 4103)。本技能分析事件日志中 Empire 的默认启动器字符串(powershell -noP -sta -w 1 -enc)、包含 System.Net.WebClient 和 FromBase64String 的 Base64 编码 payload、已知模块调用(Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation)以及暂存 URL 模式。
前置条件
- Python 3.9+,可访问 Windows 事件日志或导出的 EVTX 文件
- 通过组策略启用 PowerShell 脚本块日志(事件 ID 4104)
- 启用模块日志(事件 ID 4103)以实现全面覆盖
关键检测模式
- 默认启动器 —
powershell -noP -sta -w 1 -enc后跟 Base64 编码块 - Stager 失陷指标 —
System.Net.WebClient、DownloadData、DownloadString、FromBase64String - 模块签名 — Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation、Invoke-PSInject、Invoke-DCOM
- User-Agent 字符串 — HTTP 监听器配置中的默认 Empire User-Agent
- 暂存 URL —
/login/process.php、/admin/get.php及类似的默认 URI 模式
输出
JSON 报告,包含匹配的 IOC、解码后的 Base64 payload、可疑事件时间线、MITRE ATT&CK 技术映射以及严重性评分。
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026