Menu

Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

Głównym źródłem przewagi Funkcjonariusza nad rozwiązaniami ad-hoc jest ponad 400 unikalnych reguł wykluczających, które redukują ilość danych do skopiowania średnio o ok. 95%, poprzez pominięcie katalogów i plików o niskiej wartości (np. wewnętrznych podkatalogów systemowych Windows) - dzięki temu cała operacja trwa wielokrotnie krócej (na typowym komputerze biurowym poniżej 2 minut).

Zobacz też pozostałe przewagi Funkcjonariusza.

Podział funkcjonalny

Reguły podzielone są na 14 grup funkcjonalnych. Każdą z tych grup ma postać osobnego repozytorium i może być wgrywana na urządzenia z Funkcjonariuszem lub Funkcjonariuszem Mobilnym niezależnie od pozostałych:

exclude-windows

To repozytorium zawiera reguły wykluczające podstawowe elementy Windows i innego typowego oprogramowania Microsoftu - a więc to, co znajdziemy na każdym komputerze z tym systemem:

  • pliki systemowe Windows
  • Microsoft Office (katalogi instalacyjne i cache - z wyjątkiem preinstalowanych wersji OEM Office 2010/2013, które są wykluczane przez reguły exclude-oem`)
  • podstawowe oprogramowanie Microsoftu: OneDrive, Edge, Windows Live itd. (z wyjątkiem komunikatorów Teams i Skype, które są wykluczane przez reguły exclude-messaging)

exclude-linux

Reguły wykluczające katalogi systemowe w systemach Linux.

exclude-macos

Reguły wykluczające katalogi systemowe i domyślnie instalowane aplikacje w systemach Mac OS.

exclude-oem

To repozytorium zawiera reguły wykluczające oprogramowanie OEM, preinstalowane na nowych komputerach przez sprzedawców:

  • sterowniki sprzętu (np. grafiki, sieci), w tym typowych urządzeń peryferyjnych (np. karty dźwiękowe Creative, drukarki HP)
  • wersje trial Microsoft Office 2010/2013 (swego czasu niezwykle popularne np. na laptopach HP w polskiej dystrybucji)
  • różnego rodzaju oprogramowanie OEM dokładane przez producentów sprzętu (Acer, Dell, Fujitsu itd.) - z wyjątkiem:
    • programów antywirusowych i podobnych (są wykluczane przez reguły exclude-antivirus)
    • gier, launcherów i powiązanych narzędzi (są wykluczane przez reguły exclude-gaming)
    • czytników i edytorów PDF (są wykluczane przez reguły exclude-pdf)
    • narzędzi do nagrywania, obróbki i streamingu obrazu i dźwięku (są wykluczane przez reguły exclude-digital)

exclude-antivirus

To repozytorium zawiera reguły wykluczające elementy oprogramowania antywirusowego, bądź związanego z bezpieczeństwem komputera:

  • bazy wirusów i inne aktualizacje programów antywirusowych
  • pliki w kwarantannie (w przypadku tych programów, które szyfrują te pliki i nie da się z nich nic wartościowego wyciągnąć)

exclude-software

To repozytorium zawiera reguły wykluczające popularne oprogramowanie, instalowane na komputerach już indywidualnie, przez samego użytkownika (bądź dział IT w firmie):

  • dodatkowe przeglądarki: Google Chrome, Opera, Firefox
  • oprogramowanie do pracy biurowej i poczty alternatywne do Microsoft Office: LibreOffice/OpenOffice, Mozilla Thunderbird
  • oprogramowanie do zdalnej kontroli komputera: TeamViewer
  • przeglądarki do obrazków: IrfanView
  • odtwarzacze filmów (np. VLC) i kodeki
  • narzędzia do pracy z tekstami: Evernote, Notepad++
  • Java

exclude-pdf

Reguły wykluczające czytniki PDF i wybrane narzędzia do edycji takich plików.

exclude-messaging

To repozytorium zawiera reguły wykluczające komunikatory i oprogramowanie do prowadzenia wideokonferencji: Teams, Slack, Skype, Zoom, WebEx itd.

exclude-devel

To repozytorium zawiera reguły wykluczające oprogramowanie związane z pracą programistów:

  • Android Studio
  • Microsoft Visual Studio
  • Microsoft SQL Server (oczywiście z wyjątkiem właściwych baz danych, backupów i logów)
  • narzędzia do zarządzania bazami danych (PostgreSQL pgAdmin, SQL Server Management Studio)
  • hiperwizory (VirtualBox, VMware)
  • edytory kodu i inne narzędzia firmy Jetbrains
  • pakiety SDK i inne narzędzia związane z rozwojem oprogramowania

exclude-digital

To repozytorium zawiera reguły wykluczające oprogramowanie związane z edycją (a nie tylko oglądaniem) materiałów multimedialnych:

  • narzędzia do obróbki grafiki komputerowej
  • narzędzia do nagrywania, obróbki i streamingu plików audio/video - z wyjątkiem:
    • odtwarzaczy takich plików (np. IrfanView, VLC)
    • kodeków (np. K-Lite)
    • oprogramowania OEM (wykluczanego przez reguły exclude-oem)
    • programów z serii Windows Live (wykluczanych przez reguły exclude-windows)
    • plików multimedialnych (wykluczanych przez reguły exclude-user)

exclude-erp

Reguły wykluczające systemy ERP i inne służące do zarządzania firmą, przede wszystkim polskiej produkcji.

exclude-gaming

To repozytorium zawiera reguły wykluczające dane związane z grami komputerowymi:

  • gry właściwe (preinstalowane przez sprzedawców OEM, oraz instalowane indywidualnie przez użytkowników)
  • pliki związane z grami przeglądarkowymi
  • launchery do gier
  • inne narzędzia związane z grami (z wyjątkiem generycznych narzędzi do streamingu takich jak obs-studio, wykluczanych przez reguły exclude-digital)

exclude-user

To repozytorium zawiera reguły wykluczające pliki generowane (lub ściągane) przez użytkownika w ramach codziennej pracy:

  • filmy w formatach avi/mkv/rmvb
  • muzyka w formatach mp3/flac
  • obrazy zaszyfrowanych systemów plików (np. VeraCrypt)
  • katalogi cache programów Mozilla Firefox, Thunderbird, Google Chrome, Opera
  • pliki ze zrzutami pamięci z systemu Windows
  • pliki związane z telemetrią wyszukiwania
  • ściągnięte aplikacje Universal Windows Platform

exclude-virtual

To repozytorium powinno być instalowane tylko w parze z hookiem hook-virtual. Zawiera ono reguły przyspieszające eksfiltrację serwerów VMware i Hyper-V poprzez wykluczenie plików:

  • obrazów dysków VMDK (VMware), VHD/VHDX i innych związanych z Hyper-V
  • obrazów ISO (w założeniu płyt z obrazami instalacyjnymi różnych systemów)

Powiązany z tym rozszerzeniem hook montuje te obrazy dysków jako lokalne systemy plików, po czym rekurencyjnie te systemy eksfiltruje.

Szczegóły techniczne

Właściwy proces eksfiltracji realizowany jest narzędziem rsync, z parametrami --exclude-from dla każdego pliku z zestawem reguł.

Każda grupa funkcjonalna reguł utrzymywana jest w postaci osobnego repozytorium Git, w którym znajduje się plik o nazwie exclude.list. Repozytoria te są rozwijane jako element projektu, możesz więc polegać na ich aktualności i jakości. Możesz również wykonać forka każdego z tych repozytoriów i rozwijać go samodzielnie w pożądanym kierunku - w tym tworząc całkiem nowe zestawy.