SlideShare una empresa de Scribd logo
Bad-Hibernation
Ramón Pinuaga
¿Quién soy?
• Pentester desde hace más de 16 años para
compañías como INNEVIS y S21SEC.
• Actualmente; analista de seguridad y manager
del departamento de auditoria en INNEVIS.
• Especializado en técnicas de hacking y
seguridad ofensiva.
• Ponente anteriormente en conferencias como
Undercon o NoConName.
¿De qué va esta charla?
• Técnica para realizar ataques de Evil-Maid
explotando el fichero de hibernación de
Windows.
• La hibernación es un mecanismo que permite
apagar el equipo sin perder el estado del
sistema.
• Nos permite recuperar la memoria completa
del equipo (y la información volátil que
perderíamos con otras técnicas).
¿Evil-Maid?
¿En qué consiste un ataque Evil-maid?
• Ataque consistente en explotar equipos
desatendidos.
• Requiere de acceso físico al equipo.
• El nombre viene de que este tipo de ataques
son realizados habitualmente en hoteles por
parte de personas que se hacen pasar por
limpiadoras.
No solo para la NSA
Técnicas clásicas
• Las formas clásicas de realizar un ataque de Evil-
Maid son:
– Reiniciar el equipo desde un dispositivo externo (CD,
USB, Konboot, etc.).
– Extraer el disco duro y montarlo en otro equipo.
• Una vez tenemos acceso al disco:
– Copiamos información.
– Reseteamos contraseñas.
– Configuramos una puerta trasera.
– Implantamos un RAT.
Problemas de las técnicas clásicas
• Pueden alertar al target de que su equipo ha
sido manipulado.
– Si el equipo no esta apagado.
• Al reiniciar, perdemos la información volátil.
– Contraseñas en claro.
– Llaves de cifrado.
– Sesiones abiertas.
Extracción del disco duro
¿Cómo podemos conservar la
información volátil?
• Extracción de memoria mediante DMA:
Firewire, Thunderbolt, ExpressCard, etc.
– Solo los equipos de gama alta suelen tener este
tipo de conectores.
• Ataques ColdBoot.
– Poco efectivos con memorias modernas.
• Hibernando el equipo y copiando el fichero de
hibernación.
¿Qué es la hibernación de Windows?
• Hibernación o suspensión a disco: Mecanismo de
Windows que permite apagar el equipo sin
perder el estado del sistema.
• Esto se consigue guardando en un fichero
(hiberfil.sys) el contenido de la memoria y ciertos
datos que permiten reiniciar el equipo en el
mismo estado.
• Desactivado por defecto a partir de Windows 7
(algunos fabricantes lo activan), pero se activa al
llegar a nivel critico.
Detalles
• El fichero de hibernación se crea en:
c:hiberfil.sys (oculto).
• Windows mantiene abierto este fichero de forma
que no puede ser leído mientras el sistema esta
funcionando.
• El fichero de hibernación nunca se borra, solo se
modifica su cabecera cuando ha sido usado para
reiniciar.
• A partir de Windows 10 se puede configurar el
grado de compresión.
Formato
• Existe poca documentación oficial sobre la
organización de este archivo.
• El fichero hiberfil.sys contiene:
– Una cabecera estándar: PO_MEMORY_IMAGE
– Contexto y registros del kernel:
KPROCESSOR_STATE
– Array de bloques de datos
codificados/comprimidos en el formato
propietario de Microsoft LZ Xpress:
PO_MEMORY_RANGE_ARRAY.
¿Cómo hacemos un Evil-Maid con
hibernación?
• Aprovechamos el fichero de hibernación para
recuperar la información volátil del equipo.
• Si el equipo esta encendido pero bloqueado:
– Hibernamos, copiamos y reiniciamos al estado
inicial (no quedan rastros lógicos de la
manipulación).
• Si el equipo esta apagado: Tal vez podemos
recuperar un fichero de hibernación antiguo.
Opción de hibernar con equipo
bloqueado
¿Qué podemos lograr con esta
técnica?
• Extraer información sobre el estado del
equipo:
– Conexiones abiertas.
– Identificadores de sesión.
• Recuperar contraseñas locales en claro.
– Usando mimikatz.
• Recuperar llaves de cifrado.
– Como si lo hiciésemos de un volcado de memoria
normal.
Extraer información
• De forma manual o con Volatility.
• Puede ser tan sencillo como hacer un
“strings”.
• Pero Volatility es la opción profesional:
– Permite trabajar directamente sobre el fichero
hiberfil.sys o convertirlo en otro formato.
– vol.exe hibinfo -f hiberfil.sys
Volatility
Recuperar contraseñas locales
• Las contraseñas locales se almacenan en el
registro en forma de hashes.
• Con las técnicas clásicas tendremos que
crackearlas o resetearlas.
• Con esta técnica podemos recuperarlas de la
memoria con Mimikatz.
– Mimikatz no trabaja sobre ficheros de hibernación.
– Tenemos que convertir hiberfil.sys en un formato
manejable por Mimikatz.
Paso 1: Obtener hiberfil.sys
• Aquí probablemente tendremos que usar las
técnicas clásicas para obtener acceso al disco.
• Nos vale un acceso rápido y de solo lectura.
• A veces podemos obtener este fichero por
otras fuentes: Backups, Vulnerabilidades de
lectura remota de ficheros*, etc.
Paso 2: Volatility
• Mimikatz puede trabajar como plugin de
Windbg.
• Pero Windbg no soporta ficheros de
hibernación.
• Pero si volcados de crash dump (DMPs).
• Podemos convertir el fichero de hibernación
en un DMP con Volatility.
• Comando:
– vol.exe raw2dmp -f hiberfil.sys -O hiberfil.dmp
Paso 3: Windbg
• Como cargar un DMP:
– File > Open Crash Dump (ctrl-d)
– .symfix
– .reload
• Si es una imagen de 64bits
– .load wow64exts
– !wow64exts.sw
Paso 4: Mimikatz
• Una vez tenemos el volcado de memoria
cargado:
– .load c:mimilib.dll
– !process 0 0 lsass.exe
– .process /r /p XXXXX
– !mimikatz
DEMO
Extracción de llaves de cifrado
• Volatility soporta ficheros de hibernación y
además de convertirlos a DMP podemos
utilizar otros plugins para extraer llaves de
cifrado y tokens o identificadores de sesión.
• Plugins interesantes:
– Truecryptpassphrase
– Truecryptmaster
– Bitlocker (https://github.com/elceef/bitlocker)
Elcomsoft Forensic
Contramedidas
• Utilizar un sistema de FDE en arranque
(comprobando que se cifra el fichero
hiberfil.sys).
• Deshabilitar la opción de hibernación:
– Powercfg.exe /h off
• No dejar el PC desatendido.
Conclusiones
• Hibernación: Funcionalidad por defecto de
Windows con ciertos riesgos poco conocidos.
• Fáciles de mitigar si se conocen.
• Aun así: “Fear de Evil-Maid!”
• Gracias por la atención:
– https://twitter.com/rpinuaga

Más contenido relacionado

La actualidad más candente

Instalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraInstalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerra
optimusAR-K
 
Visita a telmex
Visita a telmexVisita a telmex
Katyyyyyy
KatyyyyyyKatyyyyyy
Katyyyyyy
katymoran5
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
Dulce Vázquez
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
Roman-comedian
 
Fase1
Fase1Fase1
Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)
Topacio Manrique
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
BoRre FernanDo AriAs
 
Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2
noel539923
 
Requisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosRequisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativos
Edgar SA
 
Linux para computadoras aniguas
Linux para computadoras aniguasLinux para computadoras aniguas
Linux para computadoras aniguas
Chamilo Educación
 
Examen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizaExamen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaiza
lissettchicaiza
 
Conalep tlanepantla 1
Conalep tlanepantla 1Conalep tlanepantla 1
Conalep tlanepantla 1
Gilberto Macias Cortez
 
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
RamonMorao
 
Mantenimiento logico
Mantenimiento logicoMantenimiento logico
Mantenimiento logico
Gineth2810
 

La actualidad más candente (15)

Instalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerraInstalacion windows xp richard arley becerra
Instalacion windows xp richard arley becerra
 
Visita a telmex
Visita a telmexVisita a telmex
Visita a telmex
 
Katyyyyyy
KatyyyyyyKatyyyyyy
Katyyyyyy
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Fase1
Fase1Fase1
Fase1
 
Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)Requerimientos de sistemas operativos (windows, linux)
Requerimientos de sistemas operativos (windows, linux)
 
Requerimientos minimos
Requerimientos minimosRequerimientos minimos
Requerimientos minimos
 
Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2Instalación del Sistema Operativo - IF06 T1 F2
Instalación del Sistema Operativo - IF06 T1 F2
 
Requisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativosRequisitos para instalar sistemas operativos
Requisitos para instalar sistemas operativos
 
Linux para computadoras aniguas
Linux para computadoras aniguasLinux para computadoras aniguas
Linux para computadoras aniguas
 
Examen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaizaExamen correccion 2222222222222 lissett chicaiza
Examen correccion 2222222222222 lissett chicaiza
 
Conalep tlanepantla 1
Conalep tlanepantla 1Conalep tlanepantla 1
Conalep tlanepantla 1
 
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
Instalacion de so if02 t1 f2 ramon morao c.i 30545105 kassandra saez c.i 30.8...
 
Mantenimiento logico
Mantenimiento logicoMantenimiento logico
Mantenimiento logico
 

Similar a Bad hibernation-rooted

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
RootedCON
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
Eventos Creativos
 
Copias de seguridad
Copias de seguridadCopias de seguridad
Copias de seguridad
Lodavisa
 
Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)
rubencaballeroPrez
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
Egdares Futch H.
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux Server
Alejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows -  Resolución Reto I de DragonjarForense en windows -  Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
Replicaciones de discos y particiones
Replicaciones de discos y particionesReplicaciones de discos y particiones
Replicaciones de discos y particiones
Sergi Escola
 
Backups
BackupsBackups
Backups
CaamiLu
 
La Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydiaLa Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydia
pixu
 
luz del carmen ramirez velazquez
luz del carmen ramirez velazquezluz del carmen ramirez velazquez
luz del carmen ramirez velazquez
kelicastr
 
Proyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquezProyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquez
kelicastr
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógica
vverdu
 
Espacio libre en un Sistema Operativo
Espacio libre en un Sistema OperativoEspacio libre en un Sistema Operativo
Espacio libre en un Sistema Operativo
Fiko Perez
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
Utilerías comerciales
Utilerías comercialesUtilerías comerciales
Utilerías comerciales
Yeison Sanchez
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
Websec México, S.C.
 
Mantenimiento de una computadora linux
Mantenimiento de una computadora linuxMantenimiento de una computadora linux
Mantenimiento de una computadora linux
Vanessa Estefania Corredor Andrade
 
Preguntas tema 3 pdf
Preguntas tema 3  pdfPreguntas tema 3  pdf
Preguntas tema 3 pdf
Damincp
 
Recuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlRecuperación de-datos-en-my sql
Recuperación de-datos-en-my sql
Francisco Aguilar Smith
 

Similar a Bad hibernation-rooted (20)

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Copias de seguridad
Copias de seguridadCopias de seguridad
Copias de seguridad
 
Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)Preguntas tema 3.pdf tic (1)
Preguntas tema 3.pdf tic (1)
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux Server
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows -  Resolución Reto I de DragonjarForense en windows -  Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
 
Replicaciones de discos y particiones
Replicaciones de discos y particionesReplicaciones de discos y particiones
Replicaciones de discos y particiones
 
Backups
BackupsBackups
Backups
 
La Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydiaLa Seguridad En Internet ~ lydia
La Seguridad En Internet ~ lydia
 
luz del carmen ramirez velazquez
luz del carmen ramirez velazquezluz del carmen ramirez velazquez
luz del carmen ramirez velazquez
 
Proyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquezProyecto de informatica luz del carmen ramirez velazquez
Proyecto de informatica luz del carmen ramirez velazquez
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógica
 
Espacio libre en un Sistema Operativo
Espacio libre en un Sistema OperativoEspacio libre en un Sistema Operativo
Espacio libre en un Sistema Operativo
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Utilerías comerciales
Utilerías comercialesUtilerías comerciales
Utilerías comerciales
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
Mantenimiento de una computadora linux
Mantenimiento de una computadora linuxMantenimiento de una computadora linux
Mantenimiento de una computadora linux
 
Preguntas tema 3 pdf
Preguntas tema 3  pdfPreguntas tema 3  pdf
Preguntas tema 3 pdf
 
Recuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlRecuperación de-datos-en-my sql
Recuperación de-datos-en-my sql
 

Último

AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
jesusdeveloper00
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
sthefannydelgado765
 
Encuentra ese factor X que te haga mejorar como SEO #SOB24
Encuentra ese factor X que te haga mejorar como SEO  #SOB24Encuentra ese factor X que te haga mejorar como SEO  #SOB24
Encuentra ese factor X que te haga mejorar como SEO #SOB24
ssuser82c1d6
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
BERTILAARTEAGATOLENT1
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación  (1).pdfEstructuras básicas_ conceptos básicos de programación  (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
LauraSofaFernndezCsp
 
FORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesssFORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesss
mariel2006torresjenn
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
jordanovillacorta09
 
Diagrama de Pareto 11-2 activida de tecnologia
Diagrama de Pareto 11-2 activida de tecnologiaDiagrama de Pareto 11-2 activida de tecnologia
Diagrama de Pareto 11-2 activida de tecnologia
SofaNava1
 
Encuentra ese factor X que te haga mejorar como SEO #SOB24
Encuentra ese factor X que te haga mejorar como SEO  #SOB24Encuentra ese factor X que te haga mejorar como SEO  #SOB24
Encuentra ese factor X que te haga mejorar como SEO #SOB24
MJ Cachón Yáñez
 
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptx
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptxInteligencia artificial universidad 6.0 y poshumanidad-2.pptx
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptx
AndrsHermann
 
importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
gallegoscarneronelso
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
politamazznaa
 
actividad integradora :Crear un recurso multimedia
actividad integradora :Crear un recurso multimediaactividad integradora :Crear un recurso multimedia
actividad integradora :Crear un recurso multimedia
241552046
 
Green Minimalist The Environtment Presentation.pdf
Green Minimalist The Environtment Presentation.pdfGreen Minimalist The Environtment Presentation.pdf
Green Minimalist The Environtment Presentation.pdf
sharonnahomy1220
 
INTRODUCCION, QUE ES, USOS Y CONCLUSIONES
INTRODUCCION, QUE ES, USOS Y CONCLUSIONESINTRODUCCION, QUE ES, USOS Y CONCLUSIONES
INTRODUCCION, QUE ES, USOS Y CONCLUSIONES
yomalylupaca
 
Tema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptxTema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptx
contrerasvivancoj
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
anacruztone06
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
darilpisco021
 
El guardian entre el centeno - J. Sl.pdf
El guardian entre el centeno - J. Sl.pdfEl guardian entre el centeno - J. Sl.pdf
El guardian entre el centeno - J. Sl.pdf
a371594
 
aplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdfaplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdf
jordanovillacorta09
 

Último (20)

AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
 
Encuentra ese factor X que te haga mejorar como SEO #SOB24
Encuentra ese factor X que te haga mejorar como SEO  #SOB24Encuentra ese factor X que te haga mejorar como SEO  #SOB24
Encuentra ese factor X que te haga mejorar como SEO #SOB24
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación  (1).pdfEstructuras básicas_ conceptos básicos de programación  (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
 
FORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesssFORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesss
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
 
Diagrama de Pareto 11-2 activida de tecnologia
Diagrama de Pareto 11-2 activida de tecnologiaDiagrama de Pareto 11-2 activida de tecnologia
Diagrama de Pareto 11-2 activida de tecnologia
 
Encuentra ese factor X que te haga mejorar como SEO #SOB24
Encuentra ese factor X que te haga mejorar como SEO  #SOB24Encuentra ese factor X que te haga mejorar como SEO  #SOB24
Encuentra ese factor X que te haga mejorar como SEO #SOB24
 
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptx
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptxInteligencia artificial universidad 6.0 y poshumanidad-2.pptx
Inteligencia artificial universidad 6.0 y poshumanidad-2.pptx
 
importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
 
actividad integradora :Crear un recurso multimedia
actividad integradora :Crear un recurso multimediaactividad integradora :Crear un recurso multimedia
actividad integradora :Crear un recurso multimedia
 
Green Minimalist The Environtment Presentation.pdf
Green Minimalist The Environtment Presentation.pdfGreen Minimalist The Environtment Presentation.pdf
Green Minimalist The Environtment Presentation.pdf
 
INTRODUCCION, QUE ES, USOS Y CONCLUSIONES
INTRODUCCION, QUE ES, USOS Y CONCLUSIONESINTRODUCCION, QUE ES, USOS Y CONCLUSIONES
INTRODUCCION, QUE ES, USOS Y CONCLUSIONES
 
Tema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptxTema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptx
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
 
El guardian entre el centeno - J. Sl.pdf
El guardian entre el centeno - J. Sl.pdfEl guardian entre el centeno - J. Sl.pdf
El guardian entre el centeno - J. Sl.pdf
 
aplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdfaplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdf
 

Bad hibernation-rooted

  • 2. ¿Quién soy? • Pentester desde hace más de 16 años para compañías como INNEVIS y S21SEC. • Actualmente; analista de seguridad y manager del departamento de auditoria en INNEVIS. • Especializado en técnicas de hacking y seguridad ofensiva. • Ponente anteriormente en conferencias como Undercon o NoConName.
  • 3. ¿De qué va esta charla? • Técnica para realizar ataques de Evil-Maid explotando el fichero de hibernación de Windows. • La hibernación es un mecanismo que permite apagar el equipo sin perder el estado del sistema. • Nos permite recuperar la memoria completa del equipo (y la información volátil que perderíamos con otras técnicas).
  • 5. ¿En qué consiste un ataque Evil-maid? • Ataque consistente en explotar equipos desatendidos. • Requiere de acceso físico al equipo. • El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.
  • 6. No solo para la NSA
  • 7. Técnicas clásicas • Las formas clásicas de realizar un ataque de Evil- Maid son: – Reiniciar el equipo desde un dispositivo externo (CD, USB, Konboot, etc.). – Extraer el disco duro y montarlo en otro equipo. • Una vez tenemos acceso al disco: – Copiamos información. – Reseteamos contraseñas. – Configuramos una puerta trasera. – Implantamos un RAT.
  • 8. Problemas de las técnicas clásicas • Pueden alertar al target de que su equipo ha sido manipulado. – Si el equipo no esta apagado. • Al reiniciar, perdemos la información volátil. – Contraseñas en claro. – Llaves de cifrado. – Sesiones abiertas.
  • 10. ¿Cómo podemos conservar la información volátil? • Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc. – Solo los equipos de gama alta suelen tener este tipo de conectores. • Ataques ColdBoot. – Poco efectivos con memorias modernas. • Hibernando el equipo y copiando el fichero de hibernación.
  • 11. ¿Qué es la hibernación de Windows? • Hibernación o suspensión a disco: Mecanismo de Windows que permite apagar el equipo sin perder el estado del sistema. • Esto se consigue guardando en un fichero (hiberfil.sys) el contenido de la memoria y ciertos datos que permiten reiniciar el equipo en el mismo estado. • Desactivado por defecto a partir de Windows 7 (algunos fabricantes lo activan), pero se activa al llegar a nivel critico.
  • 12. Detalles • El fichero de hibernación se crea en: c:hiberfil.sys (oculto). • Windows mantiene abierto este fichero de forma que no puede ser leído mientras el sistema esta funcionando. • El fichero de hibernación nunca se borra, solo se modifica su cabecera cuando ha sido usado para reiniciar. • A partir de Windows 10 se puede configurar el grado de compresión.
  • 13. Formato • Existe poca documentación oficial sobre la organización de este archivo. • El fichero hiberfil.sys contiene: – Una cabecera estándar: PO_MEMORY_IMAGE – Contexto y registros del kernel: KPROCESSOR_STATE – Array de bloques de datos codificados/comprimidos en el formato propietario de Microsoft LZ Xpress: PO_MEMORY_RANGE_ARRAY.
  • 14. ¿Cómo hacemos un Evil-Maid con hibernación? • Aprovechamos el fichero de hibernación para recuperar la información volátil del equipo. • Si el equipo esta encendido pero bloqueado: – Hibernamos, copiamos y reiniciamos al estado inicial (no quedan rastros lógicos de la manipulación). • Si el equipo esta apagado: Tal vez podemos recuperar un fichero de hibernación antiguo.
  • 15. Opción de hibernar con equipo bloqueado
  • 16. ¿Qué podemos lograr con esta técnica? • Extraer información sobre el estado del equipo: – Conexiones abiertas. – Identificadores de sesión. • Recuperar contraseñas locales en claro. – Usando mimikatz. • Recuperar llaves de cifrado. – Como si lo hiciésemos de un volcado de memoria normal.
  • 17. Extraer información • De forma manual o con Volatility. • Puede ser tan sencillo como hacer un “strings”. • Pero Volatility es la opción profesional: – Permite trabajar directamente sobre el fichero hiberfil.sys o convertirlo en otro formato. – vol.exe hibinfo -f hiberfil.sys
  • 19. Recuperar contraseñas locales • Las contraseñas locales se almacenan en el registro en forma de hashes. • Con las técnicas clásicas tendremos que crackearlas o resetearlas. • Con esta técnica podemos recuperarlas de la memoria con Mimikatz. – Mimikatz no trabaja sobre ficheros de hibernación. – Tenemos que convertir hiberfil.sys en un formato manejable por Mimikatz.
  • 20. Paso 1: Obtener hiberfil.sys • Aquí probablemente tendremos que usar las técnicas clásicas para obtener acceso al disco. • Nos vale un acceso rápido y de solo lectura. • A veces podemos obtener este fichero por otras fuentes: Backups, Vulnerabilidades de lectura remota de ficheros*, etc.
  • 21. Paso 2: Volatility • Mimikatz puede trabajar como plugin de Windbg. • Pero Windbg no soporta ficheros de hibernación. • Pero si volcados de crash dump (DMPs). • Podemos convertir el fichero de hibernación en un DMP con Volatility. • Comando: – vol.exe raw2dmp -f hiberfil.sys -O hiberfil.dmp
  • 22. Paso 3: Windbg • Como cargar un DMP: – File > Open Crash Dump (ctrl-d) – .symfix – .reload • Si es una imagen de 64bits – .load wow64exts – !wow64exts.sw
  • 23. Paso 4: Mimikatz • Una vez tenemos el volcado de memoria cargado: – .load c:mimilib.dll – !process 0 0 lsass.exe – .process /r /p XXXXX – !mimikatz
  • 24. DEMO
  • 25. Extracción de llaves de cifrado • Volatility soporta ficheros de hibernación y además de convertirlos a DMP podemos utilizar otros plugins para extraer llaves de cifrado y tokens o identificadores de sesión. • Plugins interesantes: – Truecryptpassphrase – Truecryptmaster – Bitlocker (https://github.com/elceef/bitlocker)
  • 27. Contramedidas • Utilizar un sistema de FDE en arranque (comprobando que se cifra el fichero hiberfil.sys). • Deshabilitar la opción de hibernación: – Powercfg.exe /h off • No dejar el PC desatendido.
  • 28. Conclusiones • Hibernación: Funcionalidad por defecto de Windows con ciertos riesgos poco conocidos. • Fáciles de mitigar si se conocen. • Aun así: “Fear de Evil-Maid!” • Gracias por la atención: – https://twitter.com/rpinuaga

Notas del editor

  1. Parece algo poco habitual, solo al alcance de los servicios de inteligencia.
  2. Hay que ser cuidadoso.
  3. Enseñar configuración de energía.
  4. Si tenéis el equipo encendido, comprobad si tenéis este fichero.
  5. Al ser un formato cerrado, existen pocas herramientas capaces de tratarlo
  6. Si el equio
  7. Modulo: iehistory
  8. Como hemos dicho, el fichero esta en uso.
  9. El proceso de conversión puede fallar.
  10. Después de preparar esta charla me comentaron que existe un plugin de Volatility para hacer esto mismo: https://github.com/volatilityfoundation/community/blob/master/FrancescoPicasso/mimikatz.py