Cortex-XDR-Config-Extractor是一款功能强大的XDR配置提取工具,该工具可以帮助广大研究人员在红队安全审计活动中提取和审计XDR设置。
1、密码哈希&盐值;
2、已排除的签名者名称;
3、DLL安全排除项和相关设置;
4、PE安全排除项和相关设置;
5、Office文件安全排除项和设置;
6、凭据收集模块;
7、Webshell保护模块;
8、子进程执行链;
9、行为威胁模块;
10、本地恶意软件扫描模块;
11、内存保护模块状态;
12、全局哈希;
13、勒索软件保护模块和相关设置;
14、数据库锁定文件;
由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Laokoon-SecurITy/Cortex-XDR-Config-Extractor.git
Usage = ./XDRConfExtractor.py [Filename].ldb
Help = ./XDRConfExtractor.py -h
对于7.8之前的Agent版本,任何经过身份验证的用户都可以通过系统托盘中的Cortex XDR控制台在Windows上生成支持文件。数据库锁定文件可以在zip中找到:
logs_[ID].zip\Persistence\agent_settings.db\
运行7.8版或更高版本的Agent的支持文件是经过加密的,如果你在Windows设备上拥有高权限账号,则可以直接从以下目录复制文件,数据不会加密。
方法1:
C:\ProgramData\Cyvera\LocalSystem\Persistence\agent_settings.db\
方法2:
C:\Users\[Username]\AppData\Roaming\PaloAltoNetworks\Traps\support\
据推测,从Agent 8.1版本开始,就不可能再从锁定文件中提取数据了。
本项目的开发与发布遵循GPL-3.0开源许可证协议。
Cortex-XDR-Config-Extractor:
https://github.com/Laokoon-SecurITy/Cortex-XDR-Config-Extractor
https://laokoon-security.com/cortex-xdr-config-exctractor/
https://twitter.com/mrd0x
https://mrd0x.com/cortex-xdr-analysis-and-bypass/