关于Cortex-XDR-Config-Extractor

Cortex-XDR-Config-Extractor是一款功能强大的XDR配置提取工具，该工具可以帮助广大研究人员在红队安全审计活动中提取和审计XDR设置。

支持提取的组件

1、密码哈希&盐值；

2、已排除的签名者名称；

3、DLL安全排除项和相关设置；

4、PE安全排除项和相关设置；

5、Office文件安全排除项和设置；

6、凭据收集模块；

7、Webshell保护模块；

8、子进程执行链；

9、行为威胁模块；

10、本地恶意软件扫描模块；

11、内存保护模块状态；

12、全局哈希；

13、勒索软件保护模块和相关设置；

14、数据库锁定文件；

工具下载

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Laokoon-SecurITy/Cortex-XDR-Config-Extractor.git

工具使用

Usage = ./XDRConfExtractor.py [Filename].ldb

Help  = ./XDRConfExtractor.py -h

获取数据库锁定文件

Agent版本<7.8

对于7.8之前的Agent版本，任何经过身份验证的用户都可以通过系统托盘中的Cortex XDR控制台在Windows上生成支持文件。数据库锁定文件可以在zip中找到：

logs_[ID].zip\Persistence\agent_settings.db\

Agent版本≥7.8

运行7.8版或更高版本的Agent的支持文件是经过加密的，如果你在Windows设备上拥有高权限账号，则可以直接从以下目录复制文件，数据不会加密。

方法1：

C:\ProgramData\Cyvera\LocalSystem\Persistence\agent_settings.db\

方法2：

C:\Users\[Username]\AppData\Roaming\PaloAltoNetworks\Traps\support\

Agent版本>8.1

据推测，从Agent 8.1版本开始，就不可能再从锁定文件中提取数据了。

工具运行截图

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Cortex-XDR-Config-Extractor：【GitHub传送门】

参考资料

https://laokoon-security.com/cortex-xdr-config-exctractor/

https://twitter.com/mrd0x

https://mrd0x.com/cortex-xdr-analysis-and-bypass/