Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

Każda partycja źródłowa, rozpoznana przez Funkcjonariusza w trakcie ataku, pomiędzy jej zamontowaniem (mount), a rozpoczęciem właściwej operacji eksfiltracji danych (rsync), jest analizowana przez rozszerzenia zwane hookami.

Hooki to mechanizm prostych rozszerzeń funkcjonalnych, których zadaniem jest dostarczanie funkcjonalności bardziej wyrafinowanych niż prosty rsync danych - np. wyszukiwanie konkretnych plików, wyciąganie z nich informacji i uruchamianie dzięki nim dodatkowych trybów eksfiltracji.

Dostępne hooki

  • hook-fstab - szuka plików /etc/fstab, po czym wyciąga z nich wpisy dla udziałów smbfs/cifs i nfs, a następnie próbuje takie udziały eksfiltrować
  • hook-wcxftp - szuka plików wcx_ftp.ini tworzonych przez Total Commandera, dekoduje hasła FTP w nich zawarte, po czym eksfiltruje dane z kont FTP
  • hook-virtual - szuka obrazów maszyn wirtualnych VMware i Hyper-V, po czym próbuje je rekurencyjnie eksfiltrować

Tworzenie nowych hooków

Tworzenie nowych hooków jest bardzo proste. Hook musi mieć postać repozytorium Git, klonowanego w trakcie instalacji do katalogu /opt/drivebadger/hooks, z pojedynczym skryptem hook.sh, przyjmującym 2 argumenty:

  • pełną ścieżkę do zamontowanej partycji, którą należy przetestować
  • katalog docelowy na eksfiltrowane dane