配置提取器,用于转储 BPFDoor 中硬编码的密码。
下载 bpfdoor-config-extractor.tar.gz
概述
此工具提供了一个 Python 模块和命令行工具,可从 BPFDoor 样本中提取密码。
Elastic 安全团队发布了对 BPFDoor 恶意软件的深入分析,并创建了一个额外的工具来扫描受 BPFDoor 感染的主机。
入门
Docker
我们可以使用 Docker 轻松运行提取器,首先我们需要构建镜像。
Building the BPFDoor Docker image
docker build . -t bpfdoor-extractor然后,我们使用 -v 标志运行容器,将主机目录映射到包含 BPFDoor 样本的 Docker 容器目录。
Running the BPFDoor Docker container
docker run -ti --rm -v $(pwd)/binaries:/binaries \
bpfdoor-extractor:latest -d /binaries/我们可以使用 -f 选项指定单个样本,或使用 -d 指定样本目录
BPFDoor Configuration Extractor help output
docker run -ti --rm bpfdoor-extractor:latest -h
Author: Elastic Security (MARE)
______ ______ ______ ______
| ___ \| ___ \| ___|| _ \
| |_/ /| |_/ /| |_ | | | | ___ ___ _ __
| ___ \| __/ | _| | | | |/ _ \ / _ \ | '__|
| |_/ /| | | | | |/ /| (_) || (_) || |
\____/ \_| \_| |___/ \___/ \___/ |_|
_____ __ _ _____ _ _
/ __ \ / _|(_) | ___| | | | |
| / \/ ___ _ __ | |_ _ __ _ | |__ __ __| |_ _ __ __ _ ___ | |_ ___ _ __
| | / _ \ | '_ \ | _|| | / _` | | __|\ \/ /| __|| '__|/ _` | / __|| __|/ _ \ | '__|
| \__/\| (_) || | | || | | || (_| | | |___ > < | |_ | | | (_| || (__ | |_| (_) || |
\____/ \___/ |_| |_||_| |_| \__, | \____//_/\_\ \__||_| \__,_| \___| \__|\___/ |_|
__/ |
|___/
usage: bpfdoor-extractor [-h] (-f FILENAME | -d DIRNAME)
options:
-h, --help show this help message and exit
-f FILENAME, --file FILENAME
File
-d DIRNAME, --dir DIRNAME
Directory在本地运行
如上所述,建议使用 Docker 来运行此项目,但您也可以在本地运行此项目。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则在此目录中,您可以简单地运行以下命令来运行该工具。这将设置虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。
poetry lock
poetry install
poetry shell
bpfdoor-extractor --help一旦它工作了,您就可以执行与上述 Docker 指令中提到的相同类型的操作。