20 feb 2013

Y el mejor keylogger es... la memoria

Hace unos días mientras leía el recomendable post sobre "Ataques de arranque en frío", me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.

Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de compañero desconfiado:
"Pero desactiva el keylogger del portátil eh?" A lo que le respondemos con un: "claro estate tranquilo..."

Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.

Ya sabemos que cualquier información que estamos manejando y concretamente nuestras "keys/claves/passwords/etc" se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.

Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.

1.- Acceso / autenticación en el website por parte del usuario. Una vez se ha logueado y realizado las acciones que quería, pasamos a la parte de análisis.

2- Identificar el PID del proceso del navegador con pslist (SysInternals)
pslist

3- Volcado del proceso del navegador con procdump (SysInternals)
procdump -ma 3292 -o dump_iexplorer.dmp

4.- Strings (SysInternals) sobre el volcado del iExplorer
strings dump_iexplorer.dmp > dump_iexplorer.txt

5.- Buscar en el fichero generado de strings dump_iexplorer.txtlas credenciales. En este caso se encuentra en la línea de login=****

Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero.

Fuente: Mitrein

Suscríbete a nuestro Boletín

5 comentarios:

  1. Es similar a cuando hago un keylogger para una aplicación en especifico, leo la dirección de memoria donde la aplicación esta guardando los datos de la cuenta cuando los ingresas, ningún antivirus te dice nada frente a eso :)

    ResponderBorrar
  2. Como evitarlo? NUNCA ingresar una contraseña en equipos de terceros.

    Cristian

    ResponderBorrar
  3. a mi no me muestra la conntraseña, solo el login, a que se deberá?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!