Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM

Iniciado por The_Mushrr00m, 4 Enero 2013, 08:16 AM

0 Miembros y 1 Visitante están viendo este tema.

The_Mushrr00m

Hoy les mostrare el peligro de la información que puede ser guardada en nuestra memoria ram, la importancia de no apagar o reiniciar una computadora después de usarla en algún lugar publico.

Lo que veremos en esta Prueba de Concepto sera como dumpear la memoria ram, haciendo una copia bit a bit de toda la información alojada en la memoria, y veremos la información que se guarda en ella, en este caso las credenciales del correo electronico.

Empezamos con una maquina virtual con windows xp sp3 que se le asignaron 512MB de memoria ram.
-En ella entraremos a nuestra cuenta de correo, sin guardar ni recordar contraseñas en el navegador:


-Una vez logeado, cerraremos nuestra sesion.

-Pasaremos a hacer la imagen de la copia bit a bit de la memoria ram, en este caso usaremos una herramienta de la empresa Acces Data llamada FTK IMAGER. Instalaremos el ftkimager en la computadora donde se hará el dumpeado de memoria y haremos click en el icono de la memoria ram situado en la parte superior, con el nombre Capture Memory

-Esperaremos a que termine la copia de la memoria y nos genera un archivo de Imagen.

-Ahora ya con la imagen la podemos abrir con el mismo ftkimager en Archivo y haremos click en Add Evidence Item

-Luego haremos click en Image File

-Seleccionamos la imagen que nos genero la copia bit a bit de la memoria ram

-Una vez se nos abrira toda la informacion en modo texto y en Hexadecimal

-Ahora haremos una busqueda en toda la informacion para poder encontrar las credenciales. Podemos hacer boton derecho y dar click en Find o si no mal recuerdo con control + F.

Se pueden usar diferentes Strings para la busqueda dependiendo el servicio de correo por ejemplo:  passwd= pwd=   o si buscamos algún usuario User, etc.

Hagan sus pruebas con diferentes Strings.


-Aqui se muestra la contraseña de la cuenta de correo en Texto Plano

Ademas se puede hacer busqueda de contactos de la cuenta de correo usando como busqueda algun contacto que tenga la cuenta por ejemplo:





-Si quieren buscar contactos de algun dominio en particular se puede buscar en modo texto por usando @gmail.com  @hotmail.com ,etc

Recuerden que todo esto se hizo sin guardar ninguna preferencia del sistema.

Bueno esto es la importancia que se debe tomar a la informacion que se guarda en la memoria ram. Muchos usamos computadoras en ciber cafes, escuelas, oficinas, etc y nunca reiniciamos la computadora y entonces toda esta información sige ahi en la memoria.

Después hablare sobre el Cold boot attack que mediante esta tecnica podemos hacer un dumpeo de la memoria cuando alguna computadora tiene contraseña en su cuenta y no tenemos acceso. Esta tecnica se basa en el aprovechamiento de la persistencia de informacion en la memoria ram despues de ser apagada, debido a su material que esta hecho esta tarda un tiempo en borrar la informacion despues de apagar la computadora y mediante una ataque de frio hacemos que esa persistencia tarde mas y nos alcanze el tiempo de poder hacer un dumpeo de la memoria.

Hasta aqui termino este post y espero que esta información les sirva de ayuda y esten concientes de este tipo de tecnicas. Recordar que no solo las credenciales se encuentran en la memoria ram, sino una infinidad de información mas.

FUENTE: http://ifsecurity.com/2012/11/08/obtener-contrasenas-de-correo-mediante-analisis-forense-en-memoria-ram/

Saludos..!  ;D
«No hay camino para la verdad, la verdad es el camino»


el-brujo


The_Mushrr00m

el-brujo lo siento, no puse que lo haya escrito yo, y segun yo la habia puesto de nuevo lo siento, siempre pongo la fuente de lo que publico antes del "saludos.!"

no volvera a pasar.  :-\
«No hay camino para la verdad, la verdad es el camino»


Ahorsa

Ni siquiera imaginé que se guardara ese tipo de datos. Una pregunta amigo, estoy casi seguro que es la misma pero, ¿en otros navegadores da el mismo resultado?.

Saludos.

beholdthe

Cita de: Ahorsa en 10 Enero 2013, 00:05 AM
Ni siquiera imaginé que se guardara ese tipo de datos. Una pregunta amigo, estoy casi seguro que es la misma pero, ¿en otros navegadores da el mismo resultado?.

Saludos.
Yo utilizo otras herramientas, pero vamos, el ataque es el mismo, y da lo mismo cualquier navegador.
No es nada nuevo, pero es una prueba mas de lo peligroso que es utilizar Cibers, etc.

ameise_1987

#5
se sabe hace bastante tiempo este ataque "cool both attack" de echo la universidad de prince tiene unos estudios y herramientas que podría servir de ayuda a los interesados.

https://citp.princeton.edu/research/memory/media/


ahora la pregunta del millón, es una vulnerabilidad que nuestro navegador guarde en la memoria ram, nuestras password?? , por qué no se limpia esa memoria ??, se podría utilizar este tipo de ataque  en malware ??
firma retirada por insultar/cachondearse de (anelkaos) del staff.

MCKSys Argentina

Usando algunos filtros locos, la pass parece ser: Sup3rmFn*41092=gmail

Aunque no estoy seguro del 4 y el asterisco  :huh:

De todas formas, la probé y no funciona...  :P

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


dimitrix

Es un problema del navegador, esperemos que con otros no pasen, pues debería de borrar la password una vez enviado los credenciales.




beholdthe

Cita de: dimitrix en 10 Enero 2013, 12:24 PM
Es un problema del navegador, esperemos que con otros no pasen

Yo lo probé (creo recordar) con Chrome, Internet Explorer y Firefox, y en todos el resultado era el mismo.
Igual con otro tipo de navegadores no sucede, pero con los 3 principales si, al menos hace algún tiempo cuando lo probé.

dimitrix

Pues es chungo, cuando programé en C (que buenos años...) recuerdo que podía sacar los datos de la RAM incluso acceder a los de otro programa, pero también recuerdo que se podía sobrescribir y borrar^^

Gran cagada de los navegadores pues :-)