1 oct 2013

Volatility Framework: Obteniendo hashes de un volcado de RAM

En el post de hoy vamos a ver como Volatility Framework puede obtener información sensible muy interesante de un volcado de RAM. Sabemos que los hashes de Windows son información muy útil para un atacante, y para un forense también puede serlo, ya que con esa información podremos acceder al sistema de alguna que otra manera. Otro de los contenedores interesantes de información es LSA Secrets, en el cual Windows almacena contraseñas, passwords cacheados, directivas locales, etcétera.

Hoy vamos a ver como recuperar tanto los LSA Secrets de un volcado de RAM, como un volcado de hashes, que se encuentren en la SAM. Lo más interesante, es que podremos entender como realizar dichas acciones consiguiendo las direcciones donde el plugin correspondiente de Volatility debe buscarlo. En otras palabras, hay que entender porque realizamos dichas acciones, ya que nos dan pie a muchas otras.

PoC: Recuperando hashes de un volcado y los LSA Secrets

Para descubrir la direcciones de memoria donde se encuentra la SAM, Security, etcétera, se utilizará el plugin hivelist. La sintaxis es sencilla vol -f <fichero captura formato dmp> hivelist.

Lo interesante de la ejecución anterior es la dirección virtual obtenida. Con ella podremos utilizar otros plugins para obtener otro tipo de información, por ejemplo en el caso de las LSA Secrets existe un plugin denominado lsadump con el que podremos obtener el contenido de dicho contenedor. Para ello, el plugin nos pide la dirección virtual de System y Security. La sintaxis es sencilla, vol -f <fichero captura ram dmp> -y <dirección SYSTEM> -s <dirección SECURITY>.

Por último vamos a estudiar el plugin hashdump de Volatility Framework. Con este plugin podemos obtener un volcado de usuarios y hashes de la SAM de Windows. Para llevar a cabo dicha acción la sintaxis es la siguiente vol -f <fichero captura ram dmp> -y <dirección SYSTEM> -s <dirección SAM>.

Interesante herramienta y plugins Volatility Framework, próximamente más artículos sobre esta herramienta forense que hace que el análisis de RAM sea mucho más llevadero.

1 comentario:

  1. [...] En el post de hoy vamos a ver como Volatility Framework puede obtener información sensible muy interesante de un volcado de RAM. Sabemos que los hashes de Windows son información muy útil para un atacante, y para un forense también puede serlo, ya que con esa información podremos acceder al sistema de alguna que otra manera. Otro de los contenedores interesantes de información es LSA Secrets, en el cual Windows almacena contraseñas, passwords cacheados, directivas locales, etcétera.  [...]

    ResponderEliminar