Autor
Lo que veremos en esta Prueba de Concepto sera como dumpear la memoria ram, haciendo una copia bit a bit de toda la información alojada en la memoria, y veremos la información que se guarda en ella, en este caso las credenciales del correo electronico.
Empezamos con una maquina virtual con windows xp sp3 que se le asignaron 512MB de memoria ram.
-En ella entraremos a nuestra cuenta de correo, sin guardar ni recordar contraseñas en el navegador:
-Una vez logeado, cerraremos nuestra sesion.
-Pasaremos a hacer la imagen de la copia bit a bit de la memoria ram, en este caso usaremos una herramienta de la empresa Acces Data llamada FTK IMAGER. Instalaremos el ftkimager en la computadora donde se hará el dumpeado de memoria y haremos click en el icono de la memoria ram situado en la parte superior, con el nombre Capture Memory
-Esperaremos a que termine la copia de la memoria y nos genera un archivo de Imagen.
-Ahora ya con la imagen la podemos abrir con el mismo ftkimager en Archivo y haremos click en Add Evidence Item
-Luego haremos click en Image File
-Seleccionamos la imagen que nos genero la copia bit a bit de la memoria ram
-Una vez se nos abrira toda la informacion en modo texto y en Hexadecimal
-Ahora haremos una busqueda en toda la informacion para poder encontrar las credenciales. Podemos hacer boton derecho y dar click en Find o si no mal recuerdo con control + F.
Se pueden usar diferentes Strings para la busqueda dependiendo el servicio de correo por ejemplo: passwd= pwd= o si buscamos algún usuario User, etc.
Hagan sus pruebas con diferentes Strings.
-Aqui se muestra la contraseña de la cuenta de correo en Texto Plano
Ademas se puede hacer busqueda de contactos de la cuenta de correo usando como busqueda algun contacto que tenga la cuenta por ejemplo:
-Si quieren buscar contactos de algun dominio en particular se puede buscar en modo texto por usando @gmail.com @hotmail.com ,etc
Recuerden que todo esto se hizo sin guardar ninguna preferencia del sistema.
Bueno esto es la importancia que se debe tomar a la informacion que se guarda en la memoria ram. Muchos usamos computadoras en ciber cafes, escuelas, oficinas, etc y nunca reiniciamos la computadora y entonces toda esta información sige ahi en la memoria.
Después hablare sobre el Cold boot attack que mediante esta tecnica podemos hacer un dumpeo de la memoria cuando alguna computadora tiene contraseña en su cuenta y no tenemos acceso. Esta tecnica se basa en el aprovechamiento de la persistencia de informacion en la memoria ram despues de ser apagada, debido a su material que esta hecho esta tarda un tiempo en borrar la informacion despues de apagar la computadora y mediante una ataque de frio hacemos que esa persistencia tarde mas y nos alcanze el tiempo de poder hacer un dumpeo de la memoria.
Hasta aqui termino este post y espero que esta información les sirva de ayuda y esten concientes de este tipo de tecnicas. Recordar que no solo las credenciales se encuentran en la memoria ram, sino una infinidad de información mas.
FUENTE: http://ifsecurity.com/2012/11/08/obtener-contrasenas-de-correo-mediante-analisis-forense-en-memoria-ram/
Saludos..!
En línea
