Seguro que ya conocéis Empire, un agente de post-explotación escrito en PowerShell y Python con una arquitectura muy flexible que trae varios módulos que van desde keyloggers hasta Mimikatz. Puede ejecutarse incluso sin powershell.exe y es capaz de cifrar sus comunicaciones y evadir NIDS, todo ello con un framework bastante fácil de usar.

Luis Vaca (aka Cybervaca) lleva tiempo trabajando en un mod de Empire para Hackplayers al que ha añadido nuevos e interesantes módulos:

• BypassUAC-HackPlayers-eventvwr.ps1   (BypassUAC using eventvwr working in Windows 7/8/10)
• Invoke-Mimikittenz  (Using Windows function ReadProcessMemory() in order to extract plain-text passwords)
• Invoke-Mimigatoz   (Variant of Mimikatz)
• Keylogger_selective   (Executes a keylogger selectively)
• PsBoTelegram   (Backdoor controlled from telegram)
• Execute-Url-Script   (Run scripts from a file in a url)
• Sherlock   (Find privilege escalation vulnerabilities)
• MS16-135   (Exploit privilege escalation MS16-135 x64 by b33f FuzzySecurity)
• Invoke-HostRecon   (Situational Awareness)
• Binder-4System   (Get System from service process)
• Invoke-Phant0m   (Stops threads from the svhost process to prevent it from logging events without stopping the service.)
• Set-WindowsDefender   (We can disabled and enabled Windows Defender silently)

Además ha preparado un vídeo tutorial introductorio en el que muestra como instalar el mod desde el repositorio y utilizar alguno de sus módulos, para que veáis lo fácil y a la vez potente que resulta utilizarlos. ¡No os lo perdáis!: