Y el mejor keylogger es… la memoria

(Tomado de segu-info.com.ar) Hace unos días mientras leía el recomendable post sobre “Ataques de arranque en frío”, me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.

Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de compañero desconfiado:
“Pero desactiva el keylogger del portátil eh?” A lo que le respondemos con un: “claro estate tranquilo…”

Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.

Ya sabemos que cualquier información que estamos manejando y concretamente nuestras “keys/claves/passwords/etc” se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.

Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.

1.- Acceso / autenticación en el website por parte del usuario. Una vez se ha logueado y realizado las acciones que quería, pasamos a la parte de análisis.

2- Identificar el PID del proceso del navegador con pslist (SysInternals)
pslist

3- Volcado del proceso del navegador con procdump (SysInternals)
procdump -ma 3292 -o dump_iexplorer.dmp

4.- Strings (SysInternals) sobre el volcado del iExplorer
strings dump_iexplorer.dmp > dump_iexplorer.txt

5.- Buscar en el fichero generado de strings dump_iexplorer.txtlas credenciales. En este caso se encuentra en la línea de login=****

Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero.

Leer más: Segu-Info: Y el mejor keylogger es… la memoria http://blog.segu-info.com.ar/2013/02/y-el-mejor-keylogger-es-la-memoria.html#ixzz2LXcaP4om
Under Creative Commons License: Attribution Non-Commercial Share Alike
Mucho más de Seguridad Informática Segu-Info

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s