Każda partycja źródłowa, rozpoznana przez Funkcjonariusza w trakcie ataku, pomiędzy jej zamontowaniem (mount
), a rozpoczęciem właściwej operacji eksfiltracji danych (rsync
), jest analizowana przez rozszerzenia zwane hookami.
Hooki to mechanizm prostych rozszerzeń funkcjonalnych, których zadaniem jest dostarczanie funkcjonalności bardziej wyrafinowanych niż prosty rsync danych - np. wyszukiwanie konkretnych plików, wyciąganie z nich informacji i uruchamianie dzięki nim dodatkowych trybów eksfiltracji.
hook-fstab
- szuka plików /etc/fstab
, po czym wyciąga z nich wpisy dla udziałów smbfs
/cifs
i nfs
, a następnie próbuje takie udziały eksfiltrowaćhook-wcxftp
- szuka plików wcx_ftp.ini
tworzonych przez Total Commandera, dekoduje hasła FTP w nich zawarte, po czym eksfiltruje dane z kont FTPhook-virtual
- szuka obrazów maszyn wirtualnych VMware i Hyper-V, po czym próbuje je rekurencyjnie eksfiltrowaćTworzenie nowych hooków jest bardzo proste. Hook musi mieć postać repozytorium Git, klonowanego w trakcie instalacji do katalogu /opt/drivebadger/hooks
, z pojedynczym skryptem hook.sh
, przyjmującym 2 argumenty: