Y el mejor keylogger es...
Hace unos días mientras leía el recomendable post sobre "Ataques de arranque en frío", me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.
Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de - compañero desconfiado:
"Pero desactiva el keylogger del portátil eh?"
A lo que le respondemos con un: "jejeje, claro estate tranquilo..."
Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.
Ya sabemos que cualquier información que estamos manejando y concretamente nuestras "keys/claves/passwords/etc" se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.
Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.
1.- Acceso / autenticación en el website por parte del usuario
(Una vez se ha loggueado y realizado las acciones que quería, pasamos a la parte de análisis)
2.- Identificar el PID del proceso del navegador con pslist (sysinternals)
# pslist
3.- Volcado del proceso del navegador con procdump (systinternals)
# procdump -ma 3292 -o dump_iexplorer.dmp
4.- Strings sobre el volcado del iexplorer
# strings dump_iexplorer.dmp > dump_iexplorer.txt
5.- Buscar en el fichero generado de strings dump_iexplorer.txt - las credenciales, en este caso se encuentra en la línea de login=****
Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero... ^un poco más de modo paranoic.
Fuente: Mitrein
Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de - compañero desconfiado:
"Pero desactiva el keylogger del portátil eh?"
A lo que le respondemos con un: "jejeje, claro estate tranquilo..."
Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.
Ya sabemos que cualquier información que estamos manejando y concretamente nuestras "keys/claves/passwords/etc" se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.
Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.
1.- Acceso / autenticación en el website por parte del usuario
(Una vez se ha loggueado y realizado las acciones que quería, pasamos a la parte de análisis)
2.- Identificar el PID del proceso del navegador con pslist (sysinternals)
# pslist
3.- Volcado del proceso del navegador con procdump (systinternals)
# procdump -ma 3292 -o dump_iexplorer.dmp
4.- Strings sobre el volcado del iexplorer
# strings dump_iexplorer.dmp > dump_iexplorer.txt
5.- Buscar en el fichero generado de strings dump_iexplorer.txt - las credenciales, en este caso se encuentra en la línea de login=****
Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero... ^un poco más de modo paranoic.
Fuente: Mitrein
Comentarios
Publicar un comentario