Es posible extraer credenciales (usuario y contraseña) de inicio de sesión en texto plano en Windows escritorio remoto (RDP) del proceso de svchost.exe
Así lo ha descubierto el investigador Jonas, famoso recientemente por descubrir dos bugs (errores) en el sistema de archivos NTFS
Una simple búsqueda de cadena dentro de la memoria del proceso para svchost.exe revela la contraseña de texto sin formato que se utilizó para conectarse al sistema a través de RDP.
- La contraseña de texto sin formato está presente. La mayoría de los sistemas Windows modernos ya no tienen wdigest habilitado, por lo que encontrar credenciales de texto sin formato en la memoria es mucho más raro. - La contraseña está en svchost.exe, a diferencia de lsass.exe. Esto significa que es posible que las herramientas defensivas para detectar / evitar el volcado de contraseñas de la memoria no puedan detectar esto.
Probé esto varias veces, así como muchas otras, y hasta ahora he observado lo siguiente:
- Esto parece funcionar en Windows 10, Windows Sever 2016, Windows Server 2012. Probablemente también en otros, pero hasta ahora lo he visto exitoso contra ellos. - Según el autor del tweet y otros evaluadores, parece funcionar para cuentas locales y de dominio. - No parece ser consistente. A veces, la contraseña está ahí, a veces no. No sé exactamente por qué es así. Parece existir en la memoria durante un largo período de tiempo, pero se desconoce cuánto tiempo.
Encuentra el proceso correcto. He visto algunas formas de hacerlo.
Utilizando la herramienta Process Hacker 2. Ves a la pestaña Red y busca el proceso que tiene una conexión RDP. Esto solo funciona si la conexión RDP aún está activa.
# Clear text password recovery from mem dump as found by @jonasLyk Tweet : https://twitter.com/jonasLyk/status/1393058962942083076
# borrowed python code from Willi Ballenthin -> https://gist.github.com/williballenthin/8e3913358a7996eab9b96bd57fc59df2
# code inspired by @gentilkiwi 's video
# This is for those who like me wanted to play with this discovery a little and dirty python3 script while waiting to see another module in the great mimikatz tool
# I'm no dev so PR and constructive remarks are welcome
¿Cuál es la manera más efectiva de proteger tu empresa contra un ataque de Ransomware?
Las lista de empresas afectadas cada día es más importante y grande:
El Sepe (Servicio de Empleo Publico Estatal de España , Adif, Acer, Finsa, The Phone House, los Houston Rockets , Kia Motors, Whirlpool, Ayuntamientos, Ciudades, Departamentos de Policía. Hospitales, SegurCaixa Adeslas, Mapfre, Canon, Garmin, Orange, LG, Cadena Ser, Everis, Boeing,
Consejo profesional ¿cómo nos protegemos del ransomware?
- Instalar el teclado ruso en Windows en Windows (agregar) (No tienes que usarlo) - Muchos ransomware no se iniciarán en sistemas en los que estén instalados ciertos teclados cirílicos - Probablemente se la solución más simple pero efectiva de todas.
Otra idea igual de tonta, simple pero efectiva es hacer ver que tu sistema es una máquina virtual. Muchos ransomware hacen comprobaciones para ver que no estén siendo analizados de manera que si detecta que es una máquina virtual detiene el proceso.
Lógicamente si la medida se hace popular, pues los autores de ransomware harán otro tipo de comprobaciones y no servirá de nada.
La manera más "lógica" a priori de saber si un dispositivo pertenece a Rusia es mirar la dirección IP, pero es mucho más fiable el teclado. Todos los trabajadores rusos que usen una VPN con una IP de otro país no serían detectados.
Consejos tradicionales
- Securizar RDP - Remote Desktop Protocol - Segmentar la red - Segmentación de la red - Cómo protegerse Ransomware de forma gratuita con Windows 10 con Windows Defender - Herramientas específicas de protección (Anti-Ransom) Raccine - Desactivar Windows Script Host - Desactivar macros Microsoft Office - Deshabilitar Powershell
Han pasado 15 años desde que Calibri sustituyó a Times New Roman y Arial como la fuente predeterminada de Word, PowerPoint, Outlook y Excel. Ahora Microsoft ha encargado cinco nuevas tipografías sans serif para acabar con el reinado de Calibri, y está pidiendo ayuda a los usuarios para decidirse por una.
Microsoft ha comenzado a recopilar hoy mismo comentarios sobre las cinco nuevas fuentes, y planea establecer una de ellas como la tipografía predeterminada de Office a partir de 2022. Las cinco fuentes son:
Bierstadt: creada por Steve Mattison, está inspirada en las tipografías suizas de mediados del siglo XX como la famosa Helvetica, con cortes claros en las terminaciones de los trazos, pero con un suavizado sutil para evitar la rigidez de los caracteres. Grandview: creada por Aaron Bell, se inspira en las señales de las carreteras y los ferrocarriles alemanes, diseñados para ser muy legibles, con algunos ajustes para que resulte cómoda la lectura de formatos largos. Seaford: creada por Tobias Frere-Jones, Nina Stössinger y Fred Shallcrass, reimagina las clásicas tipografías con serifas en un formato sans serif que resulta familiar y al mismo tiempo confortable para textos largos. Skeena: creada por John Hudson y Paul Hanslow, parece inspirada en fuentes de distintas épocas por sus grandes variaciones entre las partes gruesas y delgadas de sus caracteres, así como por las llamativas curvas de letras como la S, la A y la J. Tenorite: creada por Erin McLaughlin y Wei Huang, tiene el estilo más tradicional de las cinco, como una versión modernizada de la Times New Roman con caracteres anchos y signos de puntuación muy claros.
Lazy-RDP es una herramienta de escaneo y para realizar ataques de fuerza bruta junto con hydra (con diccionarios) al Escritorio Remoto de Windows (#RDP) Puerto 3389
Huge_DIR_wordlist 1:- Original size 1.1 GB txt Word-list. 2:- 45775846 lines. 3:- Compressed to 292.9 MB Zip archive. 4:- No Duplicates. 5:- Best usage with Turbo Intruder https://github.com/PortSwigger/turbo-intruder