{"id":3429,"date":"2023-01-31T12:51:35","date_gmt":"2023-01-31T11:51:35","guid":{"rendered":"https:\/\/laokoon-security.com\/?p=3429"},"modified":"2024-12-05T12:20:09","modified_gmt":"2024-12-05T11:20:09","slug":"cortex-xdr-config-exctractor","status":"publish","type":"post","link":"https:\/\/laokoon-security.com\/en\/cortex-xdr-config-exctractor\/","title":{"rendered":"Cortex XDR Config Exctractor"},"content":{"rendered":"\n
\n
\n

\u00dcbersicht und Research<\/h2>\n\n\n\n

XDR vs. EDR vs. Antivirus<\/h3>\n\n\n\n

XDR, EDR und traditionelle Antivirus-Software sind Sicherheitsl\u00f6sungen, die verwendet werden, um Netzwerke und Einzelsysteme vor Schadsoftware und anderen Cyberbedrohungen zu sch\u00fctzen. Die verschiedenen Auspr\u00e4gungen eigenen sich auf Grund ihres jeweiligen Funktionsumfangs f\u00fcr unterschiedliche Arten von Umgebungen und Anwendungsfelder.<\/p>\n\n\n\n

\"(Antivirus
(Antivirus vs. EDR vs. XDR)<\/figcaption><\/figure>\n\n\n\n

Traditionelle Antivirus-Software wurde daf\u00fcr entwickelt, bekannte Schadsoftware auf einem System zu erkennen und zu entfernen. Diese L\u00f6sungen basieren in der Regel auf signaturbasierter Erkennung, bei der die Dateien auf einem Ger\u00e4t mit einer Datenbank bekannter Schadsoftware-Signaturen verglichen werden. Der \u00dcbergang von AV zu EDR-L\u00f6sungen ist heutzutage flie\u00dfend. So verf\u00fcgen Antiviren-Produkte, wie EDR, \u00fcber M\u00f6glichkeiten zur Schadsoftwareerkennung und -abwehr, die \u00fcber die reine Suche nach Schadsoftwaresignaturen deutlich hinausgehen.<\/p>\n\n\n\n

EDR (Endpoint Detection and Response)-L\u00f6sungen sind daf\u00fcr entwickelt worden, um Endger\u00e4te wie Laptops und Server umfassender zu sch\u00fctzen. EDR-L\u00f6sungen st\u00fctzen sich unter anderem auf Funktionen wie verhaltensbasierte Erkennung, wodurch sie in der Lage sind, auch noch unbekannte Bedrohungen erkennen zu k\u00f6nnen. Dar\u00fcber hinaus verf\u00fcgen EDR \u00fcber Incident-Response- und Forensik-Funktionen, um Unternehmen bei der Untersuchung und Behandlung von Sicherheitsvorf\u00e4llen zu unterst\u00fctzen. W\u00e4hrend AV-Produkte sich also auf die Erkennung von Schadsoftware auf Basis von Verhaltensauff\u00e4lligkeiten und Signaturen fokussiert, versucht EDR durch Kombination verschiedener Sicherheitsmechanismen eine Kompromittierung zu erkennen.<\/p>\n\n\n\n

XDR (Extended Detection and Response)-L\u00f6sungen gelten als die n\u00e4chste Entwicklungsstufe von Sicherheitsl\u00f6sungen. Sie gehen \u00fcber EDR-L\u00f6sungen hinaus, indem sie mehrere Sicherheitstechnologien wie Netzwerksicherheit, Cloud-Sicherheit sowie Sicherheitsinformationen und Ereignismanagement (SIEM) integrieren, um einen umfassenderen \u00dcberblick \u00fcber den Sicherheitsstatus zu erhalten. XDR-L\u00f6sungen k\u00f6nnen auch automatisch Bedrohungen erkennen und darauf reagieren.<\/p>\n\n\n\n

Die Cortex XDR Schwachstelle<\/h3>\n\n\n\n

\u201cCortex XDR ist eine von Palo Alto Networks entwickelte Sicherheitsplattform, die Netzwerksicherheit, Endpunktschutz und Cloud-basierte Bedrohungsdaten kombiniert, um einen umfassenden Schutz vor hochentwickelten Bedrohungen zu bieten. Cortex XDR nutzt k\u00fcnstliche Intelligenz, um Cyberangriffe in Echtzeit zu erkennen und darauf zu reagieren, und kann mit anderen Sicherheitssystemen integriert werden, um einen einheitlichen \u00dcberblick \u00fcber die Sicherheitslage eines Unternehmens zu erhalten.\u201d (ChatGPT, 22.01.2023)<\/p>\n\n\n\n

\"Cortex<\/figure>\n\n\n\n

Im April 2022 ver\u00f6ffentlichte der Sicherheitsforscher mr.d0x<\/a> einen Blog-Post, in dem er beschreibt, wie der Hash und das dazugeh\u00f6rige Salt des Uninstall-Passworts eines Cortex XDR Agents aus einer Lock Database(LDB)<\/strong> extrahiert werden kann. Sollte dieser Hash gecrackt werden, w\u00e4re es einem Angreifer m\u00f6glich, den Cortex XDR Agent problemlos zu deinstallieren und so das betroffene System ungehindert und, ohne die Gefahr entdeckt zu werden, weiter zu kompromittieren.<\/p>\n\n\n\n

Mr.d0x hat somit eine Schwachstelle gefunden und deren Ausnutzen in seinem Blogbeitrag dargestellt, die ein erhebliches Risiko f\u00fcr die Sicherheit einzelner Systeme oder gar ganzer Unternehmensnetze darstellte.
Palo Alto ver\u00f6ffentlichte kein Patch, sondern wies mittels Security Advisory darauf hin, dass ein hinreichend sicheres Passwort ausreiche, um diesem Problem ad\u00e4quat zu begegnen.
Unsere Recherchen zu der Thematik haben gezeigt, dass das Problem, das mr.d0x in seinem Blogbeitrag beschrieben hat, allerdings \u00fcber das Auslesen des Hashes sowie des dazugeh\u00f6rigen Salts hinausgeht.<\/p>\n\n\n\n

Weiterentwicklung des Ansatzes von mr.d0x<\/h2>\n\n\n\n

Auf Basis der vorhergehende Recherche von mr.d0x haben wir ein Tool entwickelt, welches noch weitaus mehr Informationen, wie z.B. Ausnahmeregeln oder aktivierte Module, aus dem Lock Information File extrahiert.<\/p>\n\n\n\n

Responsible Disclosure<\/h3>\n\n\n\n

Bereits im Oktober 2022 haben wir dieses Tool via Responsible Disclosure<\/a> dem Security-Team von Palo Alto zur Verf\u00fcgung gestellt. Dieser Blogeintrag wurde entsprechend verschoben und dem Security Team somit ausreichend Zeit einger\u00e4umt, um das Problem beheben zu k\u00f6nnen.
Laut Aussage von Palo Alto ist es seit der Agent Version 8.1<\/strong> nicht mehr m\u00f6glich, sensible Informationen aus den LDBs zu extrahieren. Ein Security-Advisory hat Palo Alto hierzu nicht ver\u00f6ffentlicht.<\/p>\n\n\n\n

Cortex XDR Config Extractor<\/h2>\n\n\n\n

Voraussetzungen<\/h3>\n\n\n\n

Entwickelt und getestet wurde das Tool auf den Agent Versionen 7.8.0 und 7.7.4. F\u00fcr die Extraktion der Informationen gibt es f\u00fcr bestimmte Agenten Versionen unterschiedlicher Ans\u00e4tze, die wir im Folgenden aufschl\u00fcsseln.<\/p>\n\n\n\n

Agent Version <7.8<\/h4>\n\n\n\n

Bei Agent-Versionen vor 7.8 kann jeder authentifizierte Benutzer unter Windows \u00fcber die Cortex XDR-Konsole im System Tray eine Support-Datei erzeugen. Die LDBs sind dann in der generierten Zip-Datei zu finden:<\/p>\n\n\n\n

logs_[ID].zipPersistenceagent_settings.db[XXXXX].ldb<\/code><\/p>\n\n\n\n

Agent-Version \u22657.8<\/h4>\n\n\n\n

Seit der Agent Version 7.8.0 sind durch die Konsole generierte Support Files verschl\u00fcsselt und k\u00f6nnen nicht durch das Tool geparsed werden, allerdings gibt es zwei Methoden, um unter Umst\u00e4nden dennoch an die unverschl\u00fcsselten LDBs zu gelangen:<\/p>\n\n\n\n

Methode I<\/h5>\n\n\n\n

Mit administrativen Rechten auf der Windows-Maschine, k\u00f6nnen die LDBs direkt aus dem folgenden Verzeichnis kopiert werden:<\/p>\n\n\n\n

C:ProgrammDatenCyveraLocalSystemPersistenceagent_settings.db[XX].ldb<\/code><\/p>\n\n\n\n

Methode II<\/h5>\n\n\n\n

Generierte Supportdateien werden nicht regelm\u00e4\u00dfig gel\u00f6scht, sodass es m\u00f6glich ist, Supportdateien von, alten Agenten-Versionen, unverschl\u00fcsselt in den folgenden Verzeichnissen zu finden:<\/p>\n\n\n\n

C:Benutzer[Username]AppDataRoamingPaloAltoNetworks Trapssupportlogs_[ID].zip<\/code><\/p>\n\n\n\n

Das Tool extrahiert derzeit die folgenden Agenteninformationen:<\/p>\n\n\n\n

Toolumfang<\/h2>\n\n\n\n

Uninstall Password Hash & Salt<\/h3>\n\n\n\n

Der Hash und das Salt k\u00f6nnen dazu verwendet werden um das Uninstall Passwort des Agents zu cracken – dies wurde bereits von mr.d0x demonstriert<\/a>.<\/p>\n\n\n\n

Sollte das Cracken des Hashes erfolgreich sein, kann ein Angreifer den XDR Agent auf dem System einfach deaktivieren und sogar deinstallieren.<\/p>\n\n\n\n

\"Uninstall-Password-Hash-amp-Salt\"\/<\/figure>\n\n\n\n

Excluded Signer Names<\/h4>\n\n\n\n

\u00dcber die Managementplattform von Cortex XDR k\u00f6nnen die Namen von Software Signern hinterlegt werden, welche generell auf einer Allowlist<\/em> landen sollen.
In dieser Sektion werden die Namen der Signierer, f\u00fcr die eine Ausnahmeregel erstellt wurde, extrahiert.<\/p>\n\n\n\n

Es sollte ausreichen, eine Software mit einem selbst signierten Zertifikat und gleichem Namen zu signieren, damit die Ausnahmeregel greift. Die tats\u00e4chlichen Zertifikate werden nicht validiert.<\/p>\n\n\n\n

\"Excluded-Signer-Names\"\/<\/figure>\n\n\n\n

DLL Security Exclusions & Settings<\/h4>\n\n\n\n

In dieser Sektion werden Dateien und Pfade, f\u00fcr die in der DLL-Security eine Ausnahmeregelung erstellt wurde, extrahiert. Zudem werden Moduleinstellungen wie beispielsweise, die maximale Dateigr\u00f6\u00dfe f\u00fcr lokale Scans oder auch welche Sub-Module aktiviert sind, angezeigt.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise eine schadhafte DLL abzulegen und \u00fcber regsvr32.exe oder rundll32<\/em> auszuf\u00fchren.<\/p>\n\n\n\n

\"DLL<\/figure>\n\n\n\n

PE Security Exclusions & Settings<\/h4>\n\n\n\n

In dieser Sektion werden Dateien und Pfade, f\u00fcr die in der PE-Security eine Ausnahmeregelung erstellt wurde, extrahiert. Zudem werden Moduleinstellungen wie beispielsweise, die maximale Dateigr\u00f6\u00dfe f\u00fcr lokale Scans oder auch welche Sub-Module aktiviert sind, angezeigt.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise eine schadhafte Executable abzulegen und auszuf\u00fchren.<\/p>\n\n\n\n

\"PE<\/figure>\n\n\n\n

Office Files Security Exclusions & Settings<\/h4>\n\n\n\n

Das Modul Macro-Security<\/em> verhindert die Ausf\u00fchrung b\u00f6sartiger Makrodateien. In dieser Sektion werden Dateien und Pfade, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise schadhafte Office-Dateien abzulegen und auszuf\u00fchren.<\/p>\n\n\n\n

\"Office<\/figure>\n\n\n\n

Credential Gathering Module Exclusions<\/h4>\n\n\n\n

Das Modul Credential-Gathering<\/em> sch\u00fctzt vor Prozessen, die versuchen, auf Passw\u00f6rter und andere sensible Daten zuzugreifen bzw. sie zu stehlen. In dieser Sektion werden Dateien und Pfade, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise schadhafte Tools wie mimikatz<\/em> oder File-Scanner abzulegen und auszuf\u00fchren.<\/p>\n\n\n\n

\"Credential<\/figure>\n\n\n\n

Webshell Protection Module Exclusions<\/h4>\n\n\n\n

Das Modul Webshell-Protecton<\/em> dient dem Schutz von Prozessen, die Webshells absetzen. In dieser Sektion werden Dateien und Pfade, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert. Hierbei handelt es sich in der Regel um Prozesse, die Dateien mit den Dateiendungen php, asp, aspx, js usw. ablegen d\u00fcrfen.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise Webshells abzulegen, die dann von einem Webserver ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n\n\n\n

\"Webshell<\/figure>\n\n\n\n

Childprocess Executions Exclusions<\/h4>\n\n\n\n

Das Modul Childprocess Executions<\/em> verhindert skriptbasierte Angriffe, indem es bekannte Zielprozesse daran hindert, b\u00f6sartige Childprozesse zu starten. In dieser Sektion werden Prozessketten, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann mit Hilfe der hier\u00fcber erlangten Informationen \u00fcber erlaubte Prozessketten gezielt Malware entwickeln, die nicht von dem XDR Agent geblockt wird.<\/p>\n\n\n\n

\"Childprocess<\/figure>\n\n\n\n

Behavorial Threat Module Exclusions<\/h4>\n\n\n\n

Das Modul Behavorial Threat Prevention<\/em> verhindert Angriffe, die beispielsweise LOLBAS Binaries<\/a> ausnutzen, indem es die Endpunktaktivit\u00e4ten auf b\u00f6sartige Causality Chains<\/a> \u00fcberwacht. In dieser Sektion werden Dateien und Pfade, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen, um dort beispielsweise Tools abzulegen und auszuf\u00fchren, die sonst aufgrund von verhaltensbasierter Erkennung blockiert w\u00fcrden.<\/p>\n\n\n\n

\"Behavorial<\/figure>\n\n\n\n

Local Malware Scan Module Exclusions<\/h4>\n\n\n\n

Das Modul Local Malware Scan<\/em> pr\u00fcft Festplatten und externe Laufwerke auf
Malware. In dieser Sektion werden Dateien und Pfade, f\u00fcr die in dem Modul Ausnahmeregelung erstellt wurden, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann die Pfade aus der Exklusion nutzen um dort gezielt Schadsoftware abzulegen, die dann von der lokalen Scanengine ignoiert wird.<\/p>\n\n\n\n

\"Local<\/figure>\n\n\n\n

Memory Protection Module Status<\/h4>\n\n\n\n

Dieses Modul versucht, den Arbeitsspeicherzugriff von Programmen wie mimikatz<\/a> zu verhindern. In dieser Sektion wird lediglich extrahiert, ob das Modul aktiviert ist.<\/p>\n\n\n\n

Ein Angreifer kann mit diesen Setting einsch\u00e4tzen, ob Memory-Protections aktiviert sind und so gegebenfalls Tools verwenden die auf den Arbeitsspeicher zugreifen. Beispielsweise procdump.exe zum dumpen des lsass.exe Prozesses um Passw\u00f6rter zu extrahieren (Link<\/a>).<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Global Hash Exclusions<\/h4>\n\n\n\n

In dieser Sektion werden alle SHA-256 Hash-Values, f\u00fcr die eine globale Ausnahme bei Behavioral Threats angelegt wurde, extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann die Hash-Values evaluieren um diese zu seinem Vorteil zu verwenden. M\u00f6glicherwei\u00dfe wurde f\u00fcr eine LOLBAS eine generelle Ausnahmeregel eingerichtet und kann so von dem Angreifer missbraucht werden.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Ransomware Protection Module Modus & Settings<\/h4>\n\n\n\n

In dieser Sektion werden Moduleinstellungen wie beispielsweise, der Ransomware Protection Mode oder auch Quarant\u00e4neeinstellungen extrahiert.<\/p>\n\n\n\n

Ein Angreifer kann mit diesen Setting einsch\u00e4tzen, welche Mechanismen f\u00fcr Ransomware aktiviert sind und so gegebenfalls seine Ransomware anpassen, um etwaige Beschr\u00e4nkungen zu umgehen.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Fazit<\/h2>\n\n\n\n

Wenn jemand in der Lage w\u00e4re, die Einstellungen und Konfigurationen eines XDR-Agenten zu extrahieren, k\u00f6nnte dies schwerwiegende Folgen f\u00fcr die Sicherheit eines Unternehmens haben. Die Agentenkonfigurationen bieten einen umfassenden \u00dcberblick \u00fcber die Sicherheitslage eines Unternehmens, denn die Einstellungen und Konfigurationen steuern die Arbeitsweise des Agenten und die Erkennung potenzieller Bedrohungen. Wenn ein Angreifer in der Lage w\u00e4re, diese Informationen zu extrahieren, h\u00e4tte er ein detailliertes Verst\u00e4ndnis \u00fcber die Sicherheitsma\u00dfnahmen des Unternehmens und k\u00f6nnte sie m\u00f6glicherweise umgehen.<\/p>\n\n\n\n

Dar\u00fcber hinaus k\u00f6nnte ein Angreifer die extrahierten Informationen nutzen, um gezielte Angriffe zu entwickeln, die speziell die Schwachstellen in der Sicherheit des Unternehmens ausnutzen. Wenn ein Angreifer beispielsweise die spezifischen Dateitypen und Aktionen kennt, f\u00fcr die der XDR-Agent zum Scannen konfiguriert ist, k\u00f6nnte er Malware erstellen, die vom Agenten nicht erkannt wird.<\/p>\n\n\n\n

Zum Tool
<\/a>

Acknowledgement von Palo Alto<\/a><\/p>\n<\/div>\n\n\n\n

\n
\n
Inhaltsverzeichnis<\/h6>\n <\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

As part of a responsible disclosure, Luca Greeb, pentester at Laokoon Security, was able to read data from the configuration of the Cortex XDR.<\/p>","protected":false},"author":3,"featured_media":240,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,9,13,14],"tags":[],"class_list":["post-3429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-success-story","category-hacker","category-responsible-disclosure","category-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/posts\/3429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/comments?post=3429"}],"version-history":[{"count":10,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/posts\/3429\/revisions"}],"predecessor-version":[{"id":3934,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/posts\/3429\/revisions\/3934"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/media\/240"}],"wp:attachment":[{"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/media?parent=3429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/categories?post=3429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/laokoon-security.com\/en\/wp-json\/wp\/v2\/tags?post=3429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}