13 nov. 2015

Obtener contraseñas en claro de OpenVPN (RAM scraping)

No hace mucho me llamó la atención un pequeño script en bash que podía obtener las credenciales en texto claro de cualquier proceso OpenVPN en Linux.

Primero se obtiene un volcado de memoria del proceso con gdb, luego saca las cadenas de texto del binario con string y finalmente con grep muestra las dos lineas anteriores al patrón 'KnOQ', que es donde se sitúa la contraseña. Así de directo.

Esta técnica, que básicamente consiste en buscar texto en claro dentro de volcados memoria de procesos, es conocida como RAM scraping y viene utilizándose desde hace años. De hecho, se hizo sobretodo famosa por malware como Dexter, BlackPOS o TrackR que la utilizaban para atacar a terminales de punto de venta (TPV, o PoS en inglés) y robar información de tarjetas de crédito/débito. Como podéis imaginar, los números de las tarjetas de pago tienen el mismo formato y pueden buscarse e identificarse fácilmente mediante el mismo patrón.

Más adelante escribiremos algún que otro artículo para proteger específicamente TPVs, pero ahora vamos a hacer un ejercicio práctico para obtener las contraseñas en claro de OpenVPN mediante esta técnica, esta vez en Windows. Así que, si tenéis alguna VPN funcionando en el sistema operativo del tío Bill, estar atentos.
En mi caso, como en este momento tengo instalado el cliente VPN de Hide my Ass y utiliza por debajo OpenVPN, pues "trabajaré" con el directamente.

Para el ejemplo podríamos usar Volatility o incluso algún debugger como OllyDbg o IDA, aunque por rapidez utilizaremos estas tres pequeñas herramientas: procdump.exe, strings.exe y FindRepl.bat (utilidad regex).

Continuar leyendo en fuente original HackPlayers

1 comentario:

  1. En realidad ningún programa/sistema puede prevenir este tipo de ataque debido a que en algún lado tiene que tener la clave decriptada. Si el atacante tiene el privilegio de debug/sistema, no hay nada que le impida obtener todo tipo de información que desee.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!