Y el mejor keylogger es...

Hace unos días mientras leía el recomendable post sobre "Ataques de arranque en frío", me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.

Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de - compañero desconfiado:

"Pero desactiva el keylogger del portátil eh?"

A lo que le respondemos con un: "jejeje, claro estate tranquilo..."

Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.

Ya sabemos que cualquier información que estamos manejando y concretamente nuestras "keys/claves/passwords/etc" se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.

Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.

1.- Acceso / autenticación en el website por parte del usuario

(Una vez se ha loggueado y realizado las acciones que quería, pasamos a la parte de análisis)

2.- Identificar el PID del proceso del navegador con pslist (sysinternals)

# pslist



3.- Volcado del proceso del navegador con procdump (systinternals)
# procdump -ma 3292 -o dump_iexplorer.dmp



4.- Strings sobre el volcado del iexplorer
# strings dump_iexplorer.dmp > dump_iexplorer.txt

5.- Buscar en el fichero generado de strings dump_iexplorer.txt - las credenciales, en este caso se encuentra en la línea de login=****



Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero... ^un poco más de modo paranoic.

Fuente: Mitrein

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos