Paper.- Analizar La Memoria RAM Comprimida en OSX y Linux

En estos días de vacaciones donde cazar puntos wifis decentes se ha convertido en uno de mis que haceres diarios (Aunque también me he ido de vacaciones y por eso no ha habido entradas estos días), voy a seguir con las recomendaciones de papers. 

La verdad es no he hablado mucho de los procesos de extracción y análisis en la memoria RAM y menos de la Comprimida. 

La memoria RAM comprimida no es mas que una "mejora" que tienen sobretodo los dispositivos con OSX para gestionar mejor este tipo de memoria. De esta manera no sirven los métodos clásicos de extracción pero os recomiendo el siguiente paper para que aprendamos como realizarlo.  

Paper realizado por Golden G. Richard III, Andrew Case:

• http://www.dfrws.org/2014/proceedings/DFRWS2014-1.pdf

Espero que os guste.

Sed Buenos ;) 

Obtener Contraseñas Gracias al Volcado de la Memoria RAM

Hace días que no os explicaba nada de este estilo. Así que ya es hora de ponerse el sombrero negro y de explicaros como poder obtener contraseñas de Hotmail, Gmail, Yahoo, etc gracias a nuestra querida memoria RAM (Que en realidad es una tontería pero dicho así acojona xD)

Muchos pensamos que con cerrar nuestra sesión, en un PC de carácter "publico" (los que vamos a encontrar en bibliotecas, cibercafés  en el tuyo mismo cuando viene un colega o el del colega cuando quieres devolverle la putada, etc) ya estamos salvados de que nos entren en nuestra cuenta.

Nada mas lejos de la realidad, el problema radica en que las peticiones que hagamos a una web quedad guardadas en nuestra RAM. Además la mayoría de este tipo de webs, solo para peticiones locales, guardan la contraseña en texto plano (vamos sin ningún tipo de cifrado). Esto nos hace vulnerables a la posibilidad de que alguien sin corazón y con un sombrero negro vuelque esa memoria en un archivo .raw  para mas tarde analizarla tranquilamente. Llevándose consigo tus contraseñas de los sitios que te hayas conectado antes de apagar el PC. Digo esto por que una de las virtudes que tiene el apagarlo de forma normal es que borra todo lo que haya en la RAM mientras que si "tiramos del cable" no le da tiempo y esa información sigue estando allí. Esto es utilizado por los que hacen análisis forenses y necesitan llevarse el ordenador, que en ese momento esta encendido, a la bat-cueva para analizarlo. (por lo que tiran del cable y para casa). 

¿Como realizamos el volcado de memoria? 

De esta tarea se encargará un pequeño programa hecho por MoonSols llamado DumpIt. Este pequeño programa es una fusión entre win32dd y win64dd. Además, es rápido, fácil, ligero y portatil. Solo nos hará falta darle doble click y decirle Yes  para que copie nuestra RAM en un archivo .raw. 

http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/

¿Como Analizar en contenido del .raw?

Para este desafío necesitaremos un editor Hexadecimal (esto suena a matemáticas, pero no os preocupéis) para poder leer las contraseñas. Solo tendríamos que encontrar la palabra clave para encontrar el lugar donde esta la contraseña que buscamos. Normalmente, esa palabra clave, suele ser "pass","password", "psswrd"y cosas por el estilo.

http://winhex.com/winhex/index-e.html

Os dejo un vídeo donde explican el procedimiento paso a paso pero con una versión  mas profesional de este programa. Se puede hacer igualmente pero requiere mas tiempo y es una matada. 

No seáis malos.