Título: Extraer credenciales RDP en memoria de svchost.exe Publicado por: el-brujo en 18 Mayo 2021, 12:38 pm Es posible extraer credenciales (usuario y contraseña) de inicio de sesión en texto plano en Windows escritorio remoto (RDP) del proceso de svchost.exe
Así lo ha descubierto el investigador Jonas, famoso recientemente por descubrir dos bugs (errores) en el sistema de archivos NTFS Error en Windows 10 corrompe tu disco duro al ver el ícono un archivo https://blog.elhacker.net/2021/01/error-en-windows-10-corrompe-su-disco-NTFS-i30-bitmap-icon-archivo-comando.html Una simple búsqueda de cadena dentro de la memoria del proceso para svchost.exe revela la contraseña de texto sin formato que se utilizó para conectarse al sistema a través de RDP. - La contraseña de texto sin formato está presente. La mayoría de los sistemas Windows modernos ya no tienen wdigest habilitado, por lo que encontrar credenciales de texto sin formato en la memoria es mucho más raro. - La contraseña está en svchost.exe, a diferencia de lsass.exe. Esto significa que es posible que las herramientas defensivas para detectar / evitar el volcado de contraseñas de la memoria no puedan detectar esto. Probé esto varias veces, así como muchas otras, y hasta ahora he observado lo siguiente: - Esto parece funcionar en Windows 10, Windows Sever 2016, Windows Server 2012. Probablemente también en otros, pero hasta ahora lo he visto exitoso contra ellos. - Según el autor del tweet y otros evaluadores, parece funcionar para cuentas locales y de dominio. - No parece ser consistente. A veces, la contraseña está ahí, a veces no. No sé exactamente por qué es así. Parece existir en la memoria durante un largo período de tiempo, pero se desconoce cuánto tiempo. Encuentra el proceso correcto. He visto algunas formas de hacerlo. Utilizando la herramienta Process Hacker 2. Ves a la pestaña Red y busca el proceso que tiene una conexión RDP. Esto solo funciona si la conexión RDP aún está activa. (https://i.imgur.com/oVaMec8.png) Visto en: https://www.n00py.io/2021/05/dumping-plaintext-rdp-credentials-from-svchost-exe/ El creador de la conocida herramienta mimikatz ha añadido recientemente la funcionalidad: (https://i.imgur.com/9mC1GDD.png) coBANSJhJnE 2.2.0 20210517 Terminal Server Passwords https://github.com/gentilkiwi/mimikatz/releases Mitigaciones: Protect Remote Desktop credentials with Windows Defender Remote Credential Guard https://docs.microsoft.com/en-us/windows/security/identity-protection/remote-credential-guard Windows Defender Credential Guard: Requirements https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-requirements Script Python RDP_clear.py https://gist.github.com/k4nfr3/ca2c392572da645661b62f9a71f28ba3 Código
Otras herramientas extracción credenciales en Windows - mimikatz https://github.com/gentilkiwi/mimikatz - Proyecto LaZagne https://github.com/AlessandroZ/LaZagne/ - Pypykatz (mimikatz) en Python https://github.com/skelsec/pypykatz - Nishang (PowerShell) https://github.com/samratashok/nishang - CrackMapExec CME https://github.com/byt3bl33d3r/CrackMapExec |