Post exploitation com análise de dump de memória
1 gostou186 visualizações
Hélvio Junior, especialista em segurança da informação, aborda técnicas de exploração de memória e forense digital, utilizando ferramentas como Metasploit e Volatility em um servidor Windows. O documento detalha o processo de extração de informações sensíveis, como senhas e chaves de criptografia, a partir de um dump de memória. O artigo também discute a utilização de dicionários de senhas e métodos de quebra de hash utilizando Hashcat.
Post exploitation com análise de dump de memória
- 1. Post exploitation com análise de dump de memória Hélvio Junior (M4v3r1cK)
- 2. • E-mail: helvio_junior@hotmail.com • Twitter: @helvioju • Mais de 20 anos de atuação com TI • Criador de uma plataforma de SSO Open-Source • http://single-sign-on.com.br/ • Foco de estudo e pesquisa: • Segurança ofensiva (Red Team) • Forense computacional • Bug hunting, Cyber threat hunting • Criação e engenharia reversa de Malware • Atualmente trabalhando na BlockBit Helvio B. D. De Carvalho Junior Malware and Security Researcher | Computer Forensics Investigator | OSCP | CEHv9
- 3. • Captura de uma quantidade maior de informações • Possibilidade de busca das informações off-line • Depois de realizado o download do dump de memória • Utilização das informações para uma possível movimentação lateral • Possibilidade de encontrar as seguintes informações: • Senhas, inclusive de containers criptografados • Chaves de criptografia • Certificados digitais (com chave privada e senha) • Qualquer outra informação que esteja em memória Motivação
- 4. • Módulo Metasploit (memorydump) • https://github.com/helviojunior/metasploit_modules • Shell Meterpreter previamente estabelecido • Belkasoft RAM Capturer • https://belkasoft.com/ram-capturer • Kali Linux • Volatility - Open Source Memory Forensics • Já vem instalado no Kali • Lista de dicionário de senha • https://www.weakpass.com/wordlist/1256 Premissas e pré-requisitos
- 5. • Atacante • Kali Linux 2018.3 • 192.168.63.200 • Alvo • Windows 2012 Server • hMailServer • https://www.hmailserver.com • https://github.com/hmailserver/hmailserver.git • 192.168.63.100 Ambiente
- 6. Configurando hMailServer > Adicionando domínio e usuários
- 7. Instalação do módulo no Metasploit
- 8. Local e estrutura do Belkasoft RAM Capturer
- 9. Exploitando a maquina windows
- 10. Realizando dump da memória do windows
- 11. Descompactando o dump de memória
- 12. Verificando informações do dump volatility -f windows-2012.vmem imageinfo
- 13. Verificando informações do dump volatility -f windows-2012.vmem --profile Win2012R2x64 pslist | grep -i "hmail|offset"
- 14. Buscando PID do processo hMailServer.exe volatility -f windows-2012.vmem --profile Win2012R2x64 pslist | grep -i "hmail|offset"
- 15. Extraindo memória do processo do hMailServer.exe volatility -f windows-2012.vmem --profile Win2012R2x64 vaddump -D /tmp/ -p 1100
- 16. Extraindo informações da memória do processo do hMailServer.exe strings hMailServer.ex.fed5940.0x0000* | grep -i 'helvio@mind'
- 18. • ServerCommonUtilHashingHashCreator.cpp • ServerCommonUtilHashingHashCreator.h Análise do código https://www.hmailserver.com https://github.com/hmailserver/hmailserver.git
- 19. • 2d0ff34dfd61bdf5aab92b033e3609e43d726f634818ea8d731c0 6702824033beb6673 • Salt • 2d0ff3 • SHA256 • 4dfd61bdf5aab92b033e3609e43d726f634818ea8d731c06702824033 beb6673 Hash
- 20. • https://hashcat.net/wiki/doku.php?id=example_hashes • Arquivo a ser quebrado no formato • Hash-mode: 1420 • HASH:SALT • Preparando arquivo (hmail_hashdump.txt) • 4dfd61bdf5aab92b033e3609e43d726f634818ea8d731c06702824033 beb6673:2d0ff3 • Quebrando com hashcat • hashcat -m 1420 -a 0 -O -o pass_found.txt hmail_hashdump.txt dicionario.txt Quebra de senha com Hashcat
- 21. Quebra de senha com Hashcat
- 22. Quebra de senha com Hashcat
- 23. • Quantos aqui utilizam senhas diferentes para o e-mail e acesso a servidores, desktop entre outros? • Login na conta de e-mail deste usuário • Login em outros serviços • Login em outros servidores • Busca de outras informações... O que eu faço com essa informação?
- 24. Testes no POP3 deste servidor