Cortex-XDR-Config-Extractor:一款功能强大的XDR配置提取工具
2023-4-25 18:57:45 Author: FreeBuf(查看原文) 阅读量:18 收藏

 关于Cortex-XDR-Config-Extractor 

Cortex-XDR-Config-Extractor是一款功能强大的XDR配置提取工具,该工具可以帮助广大研究人员在红队安全审计活动中提取和审计XDR设置。

 支持提取的组件 

1、密码哈希&盐值;

2、已排除的签名者名称;

3、DLL安全排除项和相关设置;

4、PE安全排除项和相关设置;

5、Office文件安全排除项和设置;

6、凭据收集模块;

7、Webshell保护模块;

8、子进程执行链;

9、行为威胁模块;

10、本地恶意软件扫描模块;

11、内存保护模块状态;

12、全局哈希;

13、勒索软件保护模块和相关设置;

14、数据库锁定文件;

 工具下载 

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Laokoon-SecurITy/Cortex-XDR-Config-Extractor.git

 工具使用 

Usage = ./XDRConfExtractor.py [Filename].ldb
Help = ./XDRConfExtractor.py -h

 获取数据库锁定文件 

Agent版本<7.8

对于7.8之前的Agent版本,任何经过身份验证的用户都可以通过系统托盘中的Cortex XDR控制台在Windows上生成支持文件。数据库锁定文件可以在zip中找到:

logs_[ID].zip\Persistence\agent_settings.db\

Agent版本≥7.8

运行7.8版或更高版本的Agent的支持文件是经过加密的,如果你在Windows设备上拥有高权限账号,则可以直接从以下目录复制文件,数据不会加密。

方法1:

C:\ProgramData\Cyvera\LocalSystem\Persistence\agent_settings.db\

方法2:

C:\Users\[Username]\AppData\Roaming\PaloAltoNetworks\Traps\support\

Agent版本>8.1

据推测,从Agent 8.1版本开始,就不可能再从锁定文件中提取数据了。

 工具运行截图 

 许可证协议 

本项目的开发与发布遵循GPL-3.0开源许可证协议。

 项目地址 

Cortex-XDR-Config-Extractor:

https://github.com/Laokoon-SecurITy/Cortex-XDR-Config-Extractor

参考资料

https://laokoon-security.com/cortex-xdr-config-exctractor/

https://twitter.com/mrd0x

https://mrd0x.com/cortex-xdr-analysis-and-bypass/

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651223181&idx=4&sn=a27fb25aeef73f85ce6d256248cdca73&chksm=bd1de6068a6a6f1078d571da303d3c9eb54e5a446208a442b527ce89f35cc8be40dca084bd7e#rd
如有侵权请联系:admin#unsafe.sh