elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Ético (Moderador: toxeek)
| | |-+  Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM  (Leído 10,169 veces)
The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« en: 4 Enero 2013, 08:16 am »

Hoy les mostrare el peligro de la información que puede ser guardada en nuestra memoria ram, la importancia de no apagar o reiniciar una computadora después de usarla en algún lugar publico.

Lo que veremos en esta Prueba de Concepto sera como dumpear la memoria ram, haciendo una copia bit a bit de toda la información alojada en la memoria, y veremos la información que se guarda en ella, en este caso las credenciales del correo electronico.

Empezamos con una maquina virtual con windows xp sp3 que se le asignaron 512MB de memoria ram.
-En ella entraremos a nuestra cuenta de correo, sin guardar ni recordar contraseñas en el navegador:


-Una vez logeado, cerraremos nuestra sesion.

-Pasaremos a hacer la imagen de la copia bit a bit de la memoria ram, en este caso usaremos una herramienta de la empresa Acces Data llamada FTK IMAGER. Instalaremos el ftkimager en la computadora donde se hará el dumpeado de memoria y haremos click en el icono de la memoria ram situado en la parte superior, con el nombre Capture Memory

-Esperaremos a que termine la copia de la memoria y nos genera un archivo de Imagen.

-Ahora ya con la imagen la podemos abrir con el mismo ftkimager en Archivo y haremos click en Add Evidence Item

-Luego haremos click en Image File

-Seleccionamos la imagen que nos genero la copia bit a bit de la memoria ram

-Una vez se nos abrira toda la informacion en modo texto y en Hexadecimal

-Ahora haremos una busqueda en toda la informacion para poder encontrar las credenciales. Podemos hacer boton derecho y dar click en Find o si no mal recuerdo con control + F.

Se pueden usar diferentes Strings para la busqueda dependiendo el servicio de correo por ejemplo:  passwd= pwd=   o si buscamos algún usuario User, etc.

Hagan sus pruebas con diferentes Strings.


-Aqui se muestra la contraseña de la cuenta de correo en Texto Plano

Ademas se puede hacer busqueda de contactos de la cuenta de correo usando como busqueda algun contacto que tenga la cuenta por ejemplo:





-Si quieren buscar contactos de algun dominio en particular se puede buscar en modo texto por usando @gmail.com  @hotmail.com ,etc

Recuerden que todo esto se hizo sin guardar ninguna preferencia del sistema.

Bueno esto es la importancia que se debe tomar a la informacion que se guarda en la memoria ram. Muchos usamos computadoras en ciber cafes, escuelas, oficinas, etc y nunca reiniciamos la computadora y entonces toda esta información sige ahi en la memoria.

Después hablare sobre el Cold boot attack que mediante esta tecnica podemos hacer un dumpeo de la memoria cuando alguna computadora tiene contraseña en su cuenta y no tenemos acceso. Esta tecnica se basa en el aprovechamiento de la persistencia de informacion en la memoria ram despues de ser apagada, debido a su material que esta hecho esta tarda un tiempo en borrar la informacion despues de apagar la computadora y mediante una ataque de frio hacemos que esa persistencia tarde mas y nos alcanze el tiempo de poder hacer un dumpeo de la memoria.

Hasta aqui termino este post y espero que esta información les sirva de ayuda y esten concientes de este tipo de tecnicas. Recordar que no solo las credenciales se encuentran en la memoria ram, sino una infinidad de información mas.

FUENTE: http://ifsecurity.com/2012/11/08/obtener-contrasenas-de-correo-mediante-analisis-forense-en-memoria-ram/

Saludos..!  ;D
« Última modificación: 9 Enero 2013, 23:18 pm por The_Mushr00m » En línea

«No hay camino para la verdad, la verdad es el camino»

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.116


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #1 en: 9 Enero 2013, 19:14 pm »

The_Mushr00m

Sería genial poner la fuente del artículo original:

http://ifsecurity.com/2012/11/08/obtener-contrasenas-de-correo-mediante-analisis-forense-en-memoria-ram/

Ya que no lo has escrito tu...
En línea

The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #2 en: 9 Enero 2013, 23:17 pm »

el-brujo lo siento, no puse que lo haya escrito yo, y segun yo la habia puesto de nuevo lo siento, siempre pongo la fuente de lo que publico antes del "saludos.!"

no volvera a pasar.  :-\
En línea

«No hay camino para la verdad, la verdad es el camino»

Ahorsa

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #3 en: 10 Enero 2013, 00:05 am »

Ni siquiera imaginé que se guardara ese tipo de datos. Una pregunta amigo, estoy casi seguro que es la misma pero, ¿en otros navegadores da el mismo resultado?.

Saludos.
En línea

beholdthe


Desconectado Desconectado

Mensajes: 2.736


Ver Perfil
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #4 en: 10 Enero 2013, 03:20 am »

Ni siquiera imaginé que se guardara ese tipo de datos. Una pregunta amigo, estoy casi seguro que es la misma pero, ¿en otros navegadores da el mismo resultado?.

Saludos.
Yo utilizo otras herramientas, pero vamos, el ataque es el mismo, y da lo mismo cualquier navegador.
No es nada nuevo, pero es una prueba mas de lo peligroso que es utilizar Cibers, etc.
En línea

ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #5 en: 10 Enero 2013, 04:01 am »

se sabe hace bastante tiempo este ataque "cool both attack" de echo la universidad de prince tiene unos estudios y herramientas que podría servir de ayuda a los interesados.

https://citp.princeton.edu/research/memory/media/


ahora la pregunta del millón, es una vulnerabilidad que nuestro navegador guarde en la memoria ram, nuestras password?? , por qué no se limpia esa memoria ??, se podría utilizar este tipo de ataque  en malware ??
« Última modificación: 10 Enero 2013, 04:03 am por ameise_1987 » En línea

firma retirada por insultar/cachondearse de (anelkaos) del staff.
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.906


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #6 en: 10 Enero 2013, 04:07 am »

Usando algunos filtros locos, la pass parece ser: Sup3rmFn*41092=gmail

Aunque no estoy seguro del 4 y el asterisco  :huh:

De todas formas, la probé y no funciona...  :P

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

dimitrix


Desconectado Desconectado

Mensajes: 4.846



Ver Perfil WWW
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #7 en: 10 Enero 2013, 12:24 pm »

Es un problema del navegador, esperemos que con otros no pasen, pues debería de borrar la password una vez enviado los credenciales.
En línea




beholdthe


Desconectado Desconectado

Mensajes: 2.736


Ver Perfil
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #8 en: 10 Enero 2013, 21:27 pm »

Es un problema del navegador, esperemos que con otros no pasen

Yo lo probé (creo recordar) con Chrome, Internet Explorer y Firefox, y en todos el resultado era el mismo.
Igual con otro tipo de navegadores no sucede, pero con los 3 principales si, al menos hace algún tiempo cuando lo probé.
En línea

dimitrix


Desconectado Desconectado

Mensajes: 4.846



Ver Perfil WWW
Re: Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« Respuesta #9 en: 10 Enero 2013, 22:06 pm »

Pues es chungo, cuando programé en C (que buenos años...) recuerdo que podía sacar los datos de la RAM incluso acceder a los de otro programa, pero también recuerdo que se podía sobrescribir y borrar^^

Gran cagada de los navegadores pues :-)
En línea




Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Una de analisis forense
Hacking Básico
zoneh 1 2,099 Último mensaje 14 Marzo 2020, 13:47 pm
por BDS
Análisis forense de dispositivos GPS TomTom
Hacking Mobile
el-brujo 0 6,357 Último mensaje 24 Octubre 2008, 20:42 pm
por el-brujo
conocen tutoriales de analisis forense?
Seguridad
Belial & Grimoire 2 3,730 Último mensaje 7 Septiembre 2012, 04:22 am
por Belial & Grimoire
Windows Phone incorporará sincronización de contraseñas mediante IE
Noticias
wolfbcn 0 507 Último mensaje 28 Junio 2014, 01:22 am
por wolfbcn
Tras las pistas del crimen: análisis de memoria volátil en Android
Noticias
r32 0 496 Último mensaje 7 Septiembre 2015, 20:30 pm
por r32
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines