lunedì 21 marzo 2016

Windows: Estrarre e analizzare i dati contenuti nella RAM

La RAM di un PC è una memoria volatile, quando il sistema viene spento tutte le informazioni in essa contenute vengono perse. Tra le informazioni presenti in RAM è possibile trovare password, informazioni relative ai socket aperti, il contenuto della clipboard, parti di un documento non ancora salvato su disco, ecc.  Tali informazioni non sono utili solo nel campo dell'informatica forense ma possono essere utili anche a chi si occupa di sicurezza informatica per scoprire vulnerabilità di alcuni software oppure per recuperare la chiave privata da utilizzare per decriptare i dati cifrati da un ransomware (ultimamente molto diffusi).

Ci sono molti tool in grado di catturare i dati presenti in memoria tuttavia uno dei più utilizzati è il Forensic Tool Kit (FTK) messo a disposizione da AccessData. In particolare utilizzerò il tool FTK Imager di AccessData scaricabile gratuitamente dal seguente link
DOWNLOAD FTK Imager



Installazione di AccessData FTK Imager

  1. Una volta scaricato FTK Imager possiamo procedere alla sua installazione cliccando sul file eseguibile. Nella prima schermata di benvenuto basta cliccare su Next per proseguire con l'installazione.

    Installazione AccessData FTK Imager
    FIG 1 - Installazione AccessData FTK Imager
  2. Accettiamo i termini della licenza selezionando l'apposita opzione e clicchiamo sul pulsante Next per proseguire.

    AccessData FTK Imager, Termini di licenza
    FIG 2 - AccessData FTK Imager, Termini di licenza
  3. Nella schermata successiva verifichiamo il percorso di installazione del Toolkit e clicchiamo su Next.

    AccessData FTK Imager, Percorso di installazione
    FIG 3 - AccessData FTK Imager, Percorso di installazione
  4. A questo punto siamo pronti per procedere con l'installazione del Toolkit. Cliccare sul pulsante Install per dare seguito all'installazione.

    AccessData FTK Imager, Installazione
    FIG 4 - AccessData FTK Imager, Installazione
  5. Al termine dell'installazione, lasciando la spunta all'opzione Launch AccessData FTK Imager e cliccando su Finish possiamo avviare il toolkit

    AccessData FTK Imager, Fine installazione e avvio
    FIG 5 - AccessData FTK Imager, Fine installazione e avvio



Eseguire il dump della memoria con FTK Imager

  1. Una volta avviato FTK Imager, per catturare l'intero contenuto della memoria RAM, cliccare sul menu File quindi selezionare Capture memory

    AccessData FTK Imager, Capture Memory...
    FIG 6 - AccessData FTK Imager, Capture Memory...
  2. Nella finestra successiva indicare il nome da assegnare al file di dump della memoria, il percorso dove si intende salvare il file  e specificare se si intende salvare anche il file della memoria virtuale (pagefile.sys) quindi cliccare su Capture Memory.

    AccessData FTK Imager, Memory Capture
    FIG 7 - AccessData FTK Imager, Memory Capture
  3. Non resta che attendere la fine dell'operazione. 

    AccessData FTK Imager, Memory Progress
    FIG 8 - AccessData FTK Imager, Memory Progress
Per analizzare il file di dump creato è possibile utilizzare il tool Volatility (scaricabile da QUI ) oppure utilizzare Kali Linux che lo include già al suo interno. Di seguito mostrerò proprio come utilizzare Kali Linux per analizzare il file di dump creato con FTK Imager.



Analizzare il file di dump creato con FTK Imager utilizzando Kali Linux

  1. Da Kali Linux, avviare la finestra terminale
  2. Posizionarsi su /usr/share/volatility utilizzando il comando 
    cd /usr/share/volatility

    Kali Linux, Volatility
    FIG 9 - Kali Linux, Volatility
  3. Lanciando il comando python vol.py -h è possibile visualizzare l'elenco delle opzioni e dei plugin che è possibile utilizzare con Volatility. I plugin ci consentono di estrarre dal file di dump diverse informazioni.
  4. Per visualizzare le informazioni del file .mem è necessario lanciare il comando python vol.py imageinfo -f /<percorso_e_nome_file.mem> indicando il percorso e il nome del file .mem creato con FTK Imager. Supponiamo di aver copiato tale file, nominato memdump.mem, sul desktop di Kali Linux, in questo caso il comando da lanciare è il seguente 
    python vol.py imageinfo -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - Imageinfo
    FIG 10 - Kali Linux, Volatility - Imageinfo
    Dall'analisi del file di dump possiamo estrarre diverse informazioni come la versione del sistema operativo, il numero di CPU, gli indirizzi fisici per ciascun processore, la data e ora relativa alla creazione del dump, ecc.
  5. Un'altra informazione utile che possiamo estrapolare dal file di dump della RAM è quella relativa ai processi che erano in esecuzione sulla macchina. Il comando da eseguire da terminale è il seguente
    python vol.py pslist --profile=Win10x64 -f /root/Desktop/memdump.mem

    Dove al posto di Win10x64 va indicato il profilo (Suggested Profile) visualizzato dal comando visto nel punto 4
    Kali Linux, Volatility - pslist
    FIG 11 - Kali Linux, Volatility - pslist
  6. Anche il plug-in pstree permette di visualizzare i processi che erano in esecuzione e l'output viene formattato evidenziando la struttura ad albero.
    python vol.py pstree --profile=Win10x64 -f /root/Desktop/memdump.mem


    FIG 12 - Kali Linux, Volatility - pstree
  7. Per visualizzare l'elenco dei driver che erano caricati è possibile utilizzare il plugin driverscan
    python vol.py driverscan --profile=Win10x64 -f /root/Desktop/memdump.mem


    Kali Linux, Volatility - driverscan
    FIG 13 - Kali Linux, Volatility - driverscan
  8. Per conoscere le ultime console eseguite sulla workstation
    python vol.py consoles --profile=Win10x64 -f /root/Desktop/memdump.mem
  9. Per visualizzare i servizi che erano in esecuzione
    python vol.py svcscan --profile=Win10x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - svcscan
    FIG 14 - Kali Linux, Volatility - svcscan
  10. Per visualizzare i driver installati e relative periferiche. 
    python vol.py devicetree --profile=Win7SP1x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - devicetree
    FIG 15 - Kali Linux, Volatility - devicetree
  11. Per visualizzare gli Hive del registro caricati in memoria 
    python vol.py hivelist --profile=Win7SP1x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - hivelist
    FIG 16 - Kali Linux, Volatility - hivelist
    I due indirizzi evidenziati in figura sono indirizzi virtuali del hive di SAM e SYSTEM. Questi 2 Hive contengono informazioni sufficienti ad estrarre l'hash delle password di Windows (utilizzando il plugin hasdump mostrato di seguito)
  12. Con le informazioni recuperate al punto 11, possiamo eseguire il plugin hashdump per risalire all'hash delle password di Windows. 
    python vol.py hashdump --profile=Win7SP1x64 -f /root/Desktop/memdump.mem -y 0xfffff8a000024010 -s 0xfffff8a001f2f010

    Kali Linux, Volatility - hashdump
    FIG 17 - Kali Linux, Volatility - hashdump


L'hash delle password può essere utilizzato per risalire alla password in chiaro degli account di Windows. Dall'output fornito da hashdump, individuare l'account par il quale si intende risalire alla password (in FIG 18 l'account di nostro interesse è Virtual) e copiare l'hash della password (evidenziato in FIG 18).
Una volta trovato l'hash si può tentare di risalire alla password di Windows tramite l'utilizzo di appositi tool, tabelle già compilate o servizi web come https://crackstation.net/


FIG 18 - Kali Linux, Hash della password

Come si intuisce l'argomento è molto vasto e per trattarlo completamente richiederebbe la stesura di un libro. L'articolo vuole essere solo uno spunto indicando le operazioni basilari che è possibile effettuare.



Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.