SlideShare une entreprise Scribd logo

Bad hibernation-rooted

Télécharger en tant que PPTX, PDF
Ramon
Ramon

Bad hibernation

Internet
1  sur  28
Bad-Hibernation Ramón Pinuaga
¿Quién soy? • Pentester desde hace más de 16 años para compañías como INNEVIS y S21SEC. • Actualmente; analista de seguridad y manager del departamento de auditoria en INNEVIS. • Especializado en técnicas de hacking y seguridad ofensiva. • Ponente anteriormente en conferencias como Undercon o NoConName.
¿De qué va esta charla? • Técnica para realizar ataques de Evil-Maid explotando el fichero de hibernación de Windows. • La hibernación es un mecanismo que permite apagar el equipo sin perder el estado del sistema. • Nos permite recuperar la memoria completa del equipo (y la información volátil que perderíamos con otras técnicas).
¿Evil-Maid?
¿En qué consiste un ataque Evil-maid? • Ataque consistente en explotar equipos desatendidos. • Requiere de acceso físico al equipo. • El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.
No solo para la NSA
Técnicas clásicas • Las formas clásicas de realizar un ataque de Evil- Maid son: – Reiniciar el equipo desde un dispositivo externo (CD, USB, Konboot, etc.). – Extraer el disco duro y montarlo en otro equipo. • Una vez tenemos acceso al disco: – Copiamos información. – Reseteamos contraseñas. – Configuramos una puerta trasera. – Implantamos un RAT.
Problemas de las técnicas clásicas • Pueden alertar al target de que su equipo ha sido manipulado. – Si el equipo no esta apagado. • Al reiniciar, perdemos la información volátil. – Contraseñas en claro. – Llaves de cifrado. – Sesiones abiertas.
Extracción del disco duro
¿Cómo podemos conservar la información volátil? • Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc. – Solo los equipos de gama alta suelen tener este tipo de conectores. • Ataques ColdBoot. – Poco efectivos con memorias modernas. • Hibernando el equipo y copiando el fichero de hibernación.
¿Qué es la hibernación de Windows? • Hibernación o suspensión a disco: Mecanismo de Windows que permite apagar el equipo sin perder el estado del sistema. • Esto se consigue guardando en un fichero (hiberfil.sys) el contenido de la memoria y ciertos datos que permiten reiniciar el equipo en el mismo estado. • Desactivado por defecto a partir de Windows 7 (algunos fabricantes lo activan), pero se activa al llegar a nivel critico.
Detalles • El fichero de hibernación se crea en: c:hiberfil.sys (oculto). • Windows mantiene abierto este fichero de forma que no puede ser leído mientras el sistema esta funcionando. • El fichero de hibernación nunca se borra, solo se modifica su cabecera cuando ha sido usado para reiniciar. • A partir de Windows 10 se puede configurar el grado de compresión.
Formato • Existe poca documentación oficial sobre la organización de este archivo. • El fichero hiberfil.sys contiene: – Una cabecera estándar: PO_MEMORY_IMAGE – Contexto y registros del kernel: KPROCESSOR_STATE – Array de bloques de datos codificados/comprimidos en el formato propietario de Microsoft LZ Xpress: PO_MEMORY_RANGE_ARRAY.
¿Cómo hacemos un Evil-Maid con hibernación? • Aprovechamos el fichero de hibernación para recuperar la información volátil del equipo. • Si el equipo esta encendido pero bloqueado: – Hibernamos, copiamos y reiniciamos al estado inicial (no quedan rastros lógicos de la manipulación). • Si el equipo esta apagado: Tal vez podemos recuperar un fichero de hibernación antiguo.
Opción de hibernar con equipo bloqueado
¿Qué podemos lograr con esta técnica? • Extraer información sobre el estado del equipo: – Conexiones abiertas. – Identificadores de sesión. • Recuperar contraseñas locales en claro. – Usando mimikatz. • Recuperar llaves de cifrado. – Como si lo hiciésemos de un volcado de memoria normal.
Extraer información • De forma manual o con Volatility. • Puede ser tan sencillo como hacer un “strings”. • Pero Volatility es la opción profesional: – Permite trabajar directamente sobre el fichero hiberfil.sys o convertirlo en otro formato. – vol.exe hibinfo -f hiberfil.sys
Volatility
Recuperar contraseñas locales • Las contraseñas locales se almacenan en el registro en forma de hashes. • Con las técnicas clásicas tendremos que crackearlas o resetearlas. • Con esta técnica podemos recuperarlas de la memoria con Mimikatz. – Mimikatz no trabaja sobre ficheros de hibernación. – Tenemos que convertir hiberfil.sys en un formato manejable por Mimikatz.
Paso 1: Obtener hiberfil.sys • Aquí probablemente tendremos que usar las técnicas clásicas para obtener acceso al disco. • Nos vale un acceso rápido y de solo lectura. • A veces podemos obtener este fichero por otras fuentes: Backups, Vulnerabilidades de lectura remota de ficheros*, etc.
Paso 2: Volatility • Mimikatz puede trabajar como plugin de Windbg. • Pero Windbg no soporta ficheros de hibernación. • Pero si volcados de crash dump (DMPs). • Podemos convertir el fichero de hibernación en un DMP con Volatility. • Comando: – vol.exe raw2dmp -f hiberfil.sys -O hiberfil.dmp
Paso 3: Windbg • Como cargar un DMP: – File > Open Crash Dump (ctrl-d) – .symfix – .reload • Si es una imagen de 64bits – .load wow64exts – !wow64exts.sw
Paso 4: Mimikatz • Una vez tenemos el volcado de memoria cargado: – .load c:mimilib.dll – !process 0 0 lsass.exe – .process /r /p XXXXX – !mimikatz
DEMO
Extracción de llaves de cifrado • Volatility soporta ficheros de hibernación y además de convertirlos a DMP podemos utilizar otros plugins para extraer llaves de cifrado y tokens o identificadores de sesión. • Plugins interesantes: – Truecryptpassphrase – Truecryptmaster – Bitlocker (https://github.com/elceef/bitlocker)
Elcomsoft Forensic
Contramedidas • Utilizar un sistema de FDE en arranque (comprobando que se cifra el fichero hiberfil.sys). • Deshabilitar la opción de hibernación: – Powercfg.exe /h off • No dejar el PC desatendido.
Conclusiones • Hibernación: Funcionalidad por defecto de Windows con ciertos riesgos poco conocidos. • Fáciles de mitigar si se conocen. • Aun así: “Fear de Evil-Maid!” • Gracias por la atención: – https://twitter.com/rpinuaga

Recommandé

Sist. oper. unidad iii – clase1
Sist. oper. unidad iii – clase1Sist. oper. unidad iii – clase1
Sist. oper. unidad iii – clase1johfer53
 
Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)cl0p3z
 
Hardware
HardwareHardware
HardwareColegio Madre Josefa Campos
 
requisitos para instalacion de software
requisitos para instalacion de softwarerequisitos para instalacion de software
requisitos para instalacion de softwarealejalopezt5
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas OperativosBarbara Cruz Garcia
 
Requerimientos minimos de Hardware para los Sistemas Operativos
Requerimientos minimos de Hardware para los Sistemas OperativosRequerimientos minimos de Hardware para los Sistemas Operativos
Requerimientos minimos de Hardware para los Sistemas OperativosJOSE ALBERTO DIAZ GARCIA
 
S.O
S.OS.O
S.Oruis006
 
La ROM
La ROMLa ROM
La ROMJames Daza
 

Recommandé

Sist. oper. unidad iii – clase1
Sist. oper. unidad iii – clase1Sist. oper. unidad iii – clase1
Sist. oper. unidad iii – clase1johfer53
 
Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)Taller de seguridad para servidores GNU/Linux (GSICKMinds)
Taller de seguridad para servidores GNU/Linux (GSICKMinds)cl0p3z
 
Hardware
HardwareHardware
HardwareColegio Madre Josefa Campos
 
requisitos para instalacion de software
requisitos para instalacion de softwarerequisitos para instalacion de software
requisitos para instalacion de softwarealejalopezt5
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas OperativosBarbara Cruz Garcia
 
Requerimientos minimos de Hardware para los Sistemas Operativos
Requerimientos minimos de Hardware para los Sistemas OperativosRequerimientos minimos de Hardware para los Sistemas Operativos
Requerimientos minimos de Hardware para los Sistemas OperativosJOSE ALBERTO DIAZ GARCIA
 
S.O
S.OS.O
S.Oruis006
 
La ROM
La ROMLa ROM
La ROMJames Daza
 
Instalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraInstalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraoptimusAR-K
 
Visita a telmex
Visita a telmexVisita a telmex
Visita a telmexMiriam Ivethe Moran Quijano
 
Katyyyyyy
KatyyyyyyKatyyyyyy
Katyyyyyykatymoran5
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimosDulce Vázquez
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimosRoman-comedian
 
Fase1
Fase1Fase1
Fase1Carlos Augusto Aguirre Pedroza
 
Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Topacio Manrique
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimosBoRre FernanDo AriAs
 
Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2noel539923
 
Requisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosRequisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosEdgar SA
 
Linux para computadoras aniguas
Linux para computadoras aniguasLinux para computadoras aniguas
Linux para computadoras aniguasChamilo Educación
 
Examen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizaExamen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizalissettchicaiza
 
Conalep tlanepantla 1
Conalep tlanepantla 1Conalep tlanepantla 1
Conalep tlanepantla 1Gilberto Macias Cortez
 
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...RamonMorao
 
Mantenimiento logico
Mantenimiento logicoMantenimiento logico
Mantenimiento logicoGineth2810
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Copias de seguridad
Copias de seguridadCopias de seguridad
Copias de seguridadLodavisa
 
Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)rubencaballeroPrez
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAlejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 

Contenu connexe

Tendances

Instalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraInstalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraoptimusAR-K
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimosDulce Vázquez
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimosRoman-comedian
 
Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Topacio Manrique
 
Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2noel539923
 
Requisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosRequisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosEdgar SA
 
Linux para computadoras aniguas
Linux para computadoras aniguasLinux para computadoras aniguas
Linux para computadoras aniguasChamilo Educación
 
Examen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizaExamen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizalissettchicaiza
 
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...RamonMorao
 
Mantenimiento logico
Mantenimiento logicoMantenimiento logico
Mantenimiento logicoGineth2810
 

Tendances (15)

Instalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraInstalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerra
 
Visita a telmex
Visita a telmexVisita a telmex
Visita a telmex
 
Katyyyyyy
KatyyyyyyKatyyyyyy
Katyyyyyy
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Fase1
Fase1Fase1
Fase1
 
Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2
 
Requisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosRequisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativos
 
Linux para computadoras aniguas
Linux para computadoras aniguasLinux para computadoras aniguas
Linux para computadoras aniguas
 
Examen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizaExamen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaiza
 
Conalep tlanepantla 1
Conalep tlanepantla 1Conalep tlanepantla 1
Conalep tlanepantla 1
 
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
 
Mantenimiento logico
Mantenimiento logicoMantenimiento logico
Mantenimiento logico
 

Similaire à Bad hibernation-rooted

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Copias de seguridad
Copias de seguridadCopias de seguridad
Copias de seguridadLodavisa
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAlejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Replicaciones de discos y particiones
Replicaciones de discos y particionesReplicaciones de discos y particiones
Replicaciones de discos y particionesSergi Escola
 
La Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydiaLa Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydiapixu
 
luz del carmen ramirez velazquez
luz del carmen ramirez velazquezluz del carmen ramirez velazquez
luz del carmen ramirez velazquezkelicastr
 
Proyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquezProyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquezkelicastr
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
Espacio libre en un Sistema Operativo
Espacio libre en un Sistema OperativoEspacio libre en un Sistema Operativo
Espacio libre en un Sistema OperativoFiko Perez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Utilerías comerciales
Utilerías comercialesUtilerías comerciales
Utilerías comercialesYeison Sanchez
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Preguntas tema 3 pdf
Preguntas tema 3 pdfPreguntas tema 3 pdf
Preguntas tema 3 pdfDamincp
 

Similaire à Bad hibernation-rooted (20)

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Copias de seguridad
Copias de seguridadCopias de seguridad
Copias de seguridad
 
Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux Server
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
 
Replicaciones de discos y particiones
Replicaciones de discos y particionesReplicaciones de discos y particiones
Replicaciones de discos y particiones
 
Backups
BackupsBackups
Backups
 
La Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydiaLa Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydia
 
luz del carmen ramirez velazquez
luz del carmen ramirez velazquezluz del carmen ramirez velazquez
luz del carmen ramirez velazquez
 
Proyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquezProyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquez
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógica
 
Espacio libre en un Sistema Operativo
Espacio libre en un Sistema OperativoEspacio libre en un Sistema Operativo
Espacio libre en un Sistema Operativo
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Utilerías comerciales
Utilerías comercialesUtilerías comerciales
Utilerías comerciales
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
Mantenimiento de una computadora linux
Mantenimiento de una computadora linuxMantenimiento de una computadora linux
Mantenimiento de una computadora linux
 
Preguntas tema 3 pdf
Preguntas tema 3 pdfPreguntas tema 3 pdf
Preguntas tema 3 pdf
 
Recuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlRecuperación de-datos-en-my sql
Recuperación de-datos-en-my sql
 

Dernier

TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIAobandopaula444
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxchinojosa17
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxmrzreyes12
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAcoloncopias5
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMalejandroortizm
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxUniversidad de Bielefeld
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.Aldo Fernandez
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfDanielaEspitiaHerrer
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...#LatamDigital
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.ayalayenifer617
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx241518192
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxNicolas Villarroel
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)BrianaFrancisco
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfYuriFuentesMartinez2
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDLeslie Villar
 

Dernier (17)

TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptx
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptx
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptx
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdf
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptx
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
 

Bad hibernation-rooted

  • 2. ¿Quién soy? • Pentester desde hace más de 16 años para compañías como INNEVIS y S21SEC. • Actualmente; analista de seguridad y manager del departamento de auditoria en INNEVIS. • Especializado en técnicas de hacking y seguridad ofensiva. • Ponente anteriormente en conferencias como Undercon o NoConName.
  • 3. ¿De qué va esta charla? • Técnica para realizar ataques de Evil-Maid explotando el fichero de hibernación de Windows. • La hibernación es un mecanismo que permite apagar el equipo sin perder el estado del sistema. • Nos permite recuperar la memoria completa del equipo (y la información volátil que perderíamos con otras técnicas).
  • 5. ¿En qué consiste un ataque Evil-maid? • Ataque consistente en explotar equipos desatendidos. • Requiere de acceso físico al equipo. • El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.
  • 6. No solo para la NSA
  • 7. Técnicas clásicas • Las formas clásicas de realizar un ataque de Evil- Maid son: – Reiniciar el equipo desde un dispositivo externo (CD, USB, Konboot, etc.). – Extraer el disco duro y montarlo en otro equipo. • Una vez tenemos acceso al disco: – Copiamos información. – Reseteamos contraseñas. – Configuramos una puerta trasera. – Implantamos un RAT.
  • 8. Problemas de las técnicas clásicas • Pueden alertar al target de que su equipo ha sido manipulado. – Si el equipo no esta apagado. • Al reiniciar, perdemos la información volátil. – Contraseñas en claro. – Llaves de cifrado. – Sesiones abiertas.
  • 10. ¿Cómo podemos conservar la información volátil? • Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc. – Solo los equipos de gama alta suelen tener este tipo de conectores. • Ataques ColdBoot. – Poco efectivos con memorias modernas. • Hibernando el equipo y copiando el fichero de hibernación.
  • 11. ¿Qué es la hibernación de Windows? • Hibernación o suspensión a disco: Mecanismo de Windows que permite apagar el equipo sin perder el estado del sistema. • Esto se consigue guardando en un fichero (hiberfil.sys) el contenido de la memoria y ciertos datos que permiten reiniciar el equipo en el mismo estado. • Desactivado por defecto a partir de Windows 7 (algunos fabricantes lo activan), pero se activa al llegar a nivel critico.
  • 12. Detalles • El fichero de hibernación se crea en: c:hiberfil.sys (oculto). • Windows mantiene abierto este fichero de forma que no puede ser leído mientras el sistema esta funcionando. • El fichero de hibernación nunca se borra, solo se modifica su cabecera cuando ha sido usado para reiniciar. • A partir de Windows 10 se puede configurar el grado de compresión.
  • 13. Formato • Existe poca documentación oficial sobre la organización de este archivo. • El fichero hiberfil.sys contiene: – Una cabecera estándar: PO_MEMORY_IMAGE – Contexto y registros del kernel: KPROCESSOR_STATE – Array de bloques de datos codificados/comprimidos en el formato propietario de Microsoft LZ Xpress: PO_MEMORY_RANGE_ARRAY.
  • 14. ¿Cómo hacemos un Evil-Maid con hibernación? • Aprovechamos el fichero de hibernación para recuperar la información volátil del equipo. • Si el equipo esta encendido pero bloqueado: – Hibernamos, copiamos y reiniciamos al estado inicial (no quedan rastros lógicos de la manipulación). • Si el equipo esta apagado: Tal vez podemos recuperar un fichero de hibernación antiguo.
  • 15. Opción de hibernar con equipo bloqueado
  • 16. ¿Qué podemos lograr con esta técnica? • Extraer información sobre el estado del equipo: – Conexiones abiertas. – Identificadores de sesión. • Recuperar contraseñas locales en claro. – Usando mimikatz. • Recuperar llaves de cifrado. – Como si lo hiciésemos de un volcado de memoria normal.
  • 17. Extraer información • De forma manual o con Volatility. • Puede ser tan sencillo como hacer un “strings”. • Pero Volatility es la opción profesional: – Permite trabajar directamente sobre el fichero hiberfil.sys o convertirlo en otro formato. – vol.exe hibinfo -f hiberfil.sys
  • 19. Recuperar contraseñas locales • Las contraseñas locales se almacenan en el registro en forma de hashes. • Con las técnicas clásicas tendremos que crackearlas o resetearlas. • Con esta técnica podemos recuperarlas de la memoria con Mimikatz. – Mimikatz no trabaja sobre ficheros de hibernación. – Tenemos que convertir hiberfil.sys en un formato manejable por Mimikatz.
  • 20. Paso 1: Obtener hiberfil.sys • Aquí probablemente tendremos que usar las técnicas clásicas para obtener acceso al disco. • Nos vale un acceso rápido y de solo lectura. • A veces podemos obtener este fichero por otras fuentes: Backups, Vulnerabilidades de lectura remota de ficheros*, etc.
  • 21. Paso 2: Volatility • Mimikatz puede trabajar como plugin de Windbg. • Pero Windbg no soporta ficheros de hibernación. • Pero si volcados de crash dump (DMPs). • Podemos convertir el fichero de hibernación en un DMP con Volatility. • Comando: – vol.exe raw2dmp -f hiberfil.sys -O hiberfil.dmp
  • 22. Paso 3: Windbg • Como cargar un DMP: – File > Open Crash Dump (ctrl-d) – .symfix – .reload • Si es una imagen de 64bits – .load wow64exts – !wow64exts.sw
  • 23. Paso 4: Mimikatz • Una vez tenemos el volcado de memoria cargado: – .load c:mimilib.dll – !process 0 0 lsass.exe – .process /r /p XXXXX – !mimikatz
  • 24. DEMO
  • 25. Extracción de llaves de cifrado • Volatility soporta ficheros de hibernación y además de convertirlos a DMP podemos utilizar otros plugins para extraer llaves de cifrado y tokens o identificadores de sesión. • Plugins interesantes: – Truecryptpassphrase – Truecryptmaster – Bitlocker (https://github.com/elceef/bitlocker)
  • 27. Contramedidas • Utilizar un sistema de FDE en arranque (comprobando que se cifra el fichero hiberfil.sys). • Deshabilitar la opción de hibernación: – Powercfg.exe /h off • No dejar el PC desatendido.
  • 28. Conclusiones • Hibernación: Funcionalidad por defecto de Windows con ciertos riesgos poco conocidos. • Fáciles de mitigar si se conocen. • Aun así: “Fear de Evil-Maid!” • Gracias por la atención: – https://twitter.com/rpinuaga

Notes de l'éditeur

  1. Parece algo poco habitual, solo al alcance de los servicios de inteligencia.
  2. Hay que ser cuidadoso.
  3. Enseñar configuración de energía.
  4. Si tenéis el equipo encendido, comprobad si tenéis este fichero.
  5. Al ser un formato cerrado, existen pocas herramientas capaces de tratarlo
  6. Si el equio
  7. Modulo: iehistory
  8. Como hemos dicho, el fichero esta en uso.
  9. El proceso de conversión puede fallar.
  10. Después de preparar esta charla me comentaron que existe un plugin de Volatility para hacer esto mismo: https://github.com/volatilityfoundation/community/blob/master/FrancescoPicasso/mimikatz.py