Extrahieren verschlüsselter Anmeldeinformationen aus gängigen Tools

Die Mehrheit dieser Cyberangriffe stützt sich gen gestohlene Zugangsdaten, die entweder in Folge dessen erlangt werden, dass Mitwirkender und Endbenutzer dazu verleitet werden, sie zu teilen, oder während Domänenzugangsdaten gesammelt werden, die gen Workstations und anderen Systemen im Netzwerk zwischengespeichert sind. Ebendiese gestohlenen Zugangsdaten schenken Angreifern die Möglichkeit, sich seitwärts intrinsisch dieser Umgebung zu in Bewegung setzen, während sie von Maschine zu Maschine wechseln – sowohl lokal wie gleichermaßen in dieser Cloud –, solange bis sie geschäftskritische Assets glücken.

Zusammen mit dieser Uber-Sicherheitslücke im September fanden Angreifer die Zugangsdaten in einem bestimmten PowerShell-Skript. Im Kontrast dazu es gibt viele weniger auffällige, freilich ebenso schädliche Möglichkeiten, wie Angreifer Anmeldeinformationen finden können, die ihnen den Zugriff gen die Umgebung zuteil werden lassen würden. Zusammenhängen allgemeine lokale Anmeldeinformationen, lokale Benutzer mit ähnlichen Passwörtern und Anmeldeinformationen, die in Dateien gen Netzwerkfreigaben gespeichert sind.

Zusammen mit unserer Recherche standen wir vor dieser Frage, welche Verfahren von Informationen aus einer kompromittierten Maschine extrahiert werden können – ohne irgendwelche Schwachstellen auszunutzen – um sich seitwärts zu in Bewegung setzen oder sensible Informationen zu extrahieren. Aus hier verwendeten Tools sind in unserem GitHub-Repository verfügbar.

Organisationen verlassen sich gen mehrere Tools, um sich unter Servern und Datenbanken mit SSH-, FTP-, Telnet- oder RDP-Protokollen zu authentifizieren – und viele dieser Tools speichern Anmeldeinformationen, um die Authentifizierung zu beschleunigen. Wir betrachten drei solcher Tools – WinSCP, Robomongo und MobaXterm – um zu zeigen, wie ein Angreifer Nicht-Klartext-Anmeldeinformationen extrahieren kann.

WinSCP: Verschleierte Anmeldeinformationen

Wenn kein Domänencontroller verfügbar ist, kann ein Benutzer mithilfe zwischengespeicherter Anmeldeinformationen, die nachdem einer erfolgreichen Domänenanmeldung lokal gespeichert wurden, gen Systemressourcen zupacken. Da dieser Benutzer zuvor berechtigt war, kann sich dieser Benutzer mit dem Domänenkonto verbleibend zwischengespeicherte Anmeldeinformationen beim Computer einloggen, wenn auch dieser Domänencontroller, dieser den Benutzer in dieser Vergangenheit authentifiziert hat, nicht verfügbar ist.

WinSCP bietet die Vorkaufsrecht, die Anmeldeinformationen zu speichern, die zu Gunsten von die Vernetzung zu Remote-Computern verbleibend SSH verwendet werden. Während die Anmeldeinformationen verschleiert werden, wenn sie in dieser Windows-Registrierung gespeichert werden (ComputerHKEY_CURRENT_USERSOFTWAREMartin PrikrylWinSCP 2Sessions), werden sie gar nicht verschlüsselt. Jeder, dieser den zum Verschleiern verwendeten Algorithmus kennt, kann Zugriff gen die Anmeldeinformationen erhalten.

Da dieser Quellcode von WinSCP gen GitHub verfügbar ist, konnten wir den Verschleierungsalgorithmus finden. Wir nach sich ziehen ein Tool verwendet, dasjenige den gleichen Algorithmus implementiert hat, um die Anmeldeinformationen zu entschlüsseln, und wir nach sich ziehen Zugriff gen die Anmeldeinformationen im Klartext erhalten.

Dies Implementieren eines Verschleierungsalgorithmus zum Sichern gespeicherter Anmeldeinformationen ist keine bewährte Methode, da dies leichtgewichtig rückgängig gemacht werden kann und zum Klauerei von Anmeldeinformationen führt.

Robomongo: Kein geheimer Schlüssel

Robomongo (jetzt Robo 3T) ist ein MongoDB-Client, dieser verwendet wird, um eine Vernetzung zu Mongo-Datenbankservern herzustellen. Wenn Sie Ihre Anmeldeinformationen speichern, werden sie verschlüsselt und in a gespeichert robo3t.json JSON-File. Jener geheime Schlüssel, dieser zum Verschlüsseln dieser Anmeldeinformationen verwendet wird, wird ebenfalls lokal im Klartext in a gespeichert robo3t.key File.

Dies bedeutet, dass ein Angreifer, dieser sich Zugriff gen verdongeln Computer verschafft, den im Klartext gespeicherten Schlüssel verwenden kann, um die Anmeldeinformationen zu entschlüsseln.

Wir nach sich ziehen uns den Quellcode von Robomongo gen GitHub repräsentabel, um zu verstehen, wie dieser Schlüssel zum Verschlüsseln des Passworts verwendet wird, und nach sich ziehen sachkundig, dass er die SimpleCrypt-Bibliothek von Qt verwendet. Während Robomongo Verschlüsselung verwendet, um Anmeldeinformationen sicher zu speichern, ist die Tatsache, dass dieser geheime Schlüssel im Klartext gespeichert wird, keine bewährte Methode. Angreifer könnten es unter Umständen Vorlesung halten, da jeder Benutzer mit Zugriff gen die Arbeitsstation die Anmeldeinformationen entschlüsseln kann. Sogar wenn die Informationen so codiert sind, dass Menschen sie nicht Vorlesung halten können, könnten bestimmte Techniken feststellen, welche Kodierung verwendet wird, und dann die Informationen entschlüsseln.

MobaXterm: Entschlüsseln des Passworts

MobaXterm ist ein leistungsstarkes Tool, um sich mit verschiedenen Protokollen wie SSH, Telnet, RDP, FTP usw. mit entfernten Rechnern zu verbinden. Ein Benutzer, dieser Zugangsdaten in MobaXterm speichern möchte, wird aufgefordert, ein Master-Passwort zu erstellen, um seine sensiblen Wissen zu schützen. Standardmäßig fordert MobaXterm dasjenige Master-Passwort nur gen einem neuen Computer an.

Dies bedeutet, dass dasjenige Master-Passwort irgendwo gespeichert ist und MobaXterm es abrufen wird, um gen die verschlüsselten Anmeldeinformationen zuzugreifen. Wir nach sich ziehen Procmon aus dieser Sysinternals Suite verwendet, um aufgebraucht Registrierungsschlüssel und Dateien zuzuordnen, gen die MobaXterm zugreift, und wir nach sich ziehen dasjenige Master-Passwort gefunden, dasjenige in dieser Windows-Registrierung gespeichert ist (ComputerHKEY_CURRENT_USERSOFTWAREMobatekMobaXtermM). Anmeldeinformationen und Kennwörter werden jeweils in den Registrierungsschlüsseln Kohlenstoff und P gespeichert.

Zunächst konnten wir dasjenige mit DPAPI verschlüsselte Master-Passwort nicht entschlüsseln. Wir nach sich ziehen schließlich herausgefunden, dass die ersten 20 DPAPI-Bytes, die unter Verwendung von DPAPI immer gleich sind, fern wurden. Qua wir die ersten 20 Bytes hinzugefügt nach sich ziehen, konnten wir die DPAPI-Verschlüsselung entschlüsseln, um den SHA512-Hash des Master-Passworts zu erhalten. Dieser Hash wird zum Verschlüsseln und Entschlüsseln von Anmeldeinformationen verwendet.

Hier wird dieser Verschlüsselungsschlüssel, dieser zum sicheren Speichern dieser Anmeldeinformationen verwendet wird, mithilfe von DPAPI gespeichert. Dies bedeutet, dass nur dieser Benutzer, dieser die Anmeldeinformationen gespeichert hat, darauf zupacken kann. Ein Benutzer mit Administratorzugriff oder ein Angreifer, dieser sich Zugriff gen die Sitzung des Opfers verschafft, kann jedoch gleichermaßen die gen dem Computer gespeicherten Anmeldeinformationen entschlüsseln.

Kontakt haben Sie die Risiken

Entwickler, DevOps und IT verwenden verschiedene Tools, um eine Vernetzung zu Remote-Computern herzustellen und ebendiese Zugriffsdetails zu verwalten. Provider sollen ebendiese sensiblen Informationen gen die sicherste Weise speichern. Die Verschlüsselung erfolgt jedoch immer gen dieser Clientseite, und ein Angreifer kann dasjenige Verhalten des Tools replizieren, um die Anmeldeinformationen zu entschlüsseln.

Wie immer gibt es keine magische Störungsbehebung, die aufgebraucht Probleme lockern kann, die wir hier besprochen nach sich ziehen. Unternehmen könnten jedoch damit beginnen, die Dienste zu untersuchen, die sie derzeit verwenden. Sie können eine genaue Risikomatrix erstellen und besser gen Datenschutzverletzungen vorbereitet sein, während sie ein besseres Verständnis dieser Arten von sensiblen Wissen und Anmeldeinformationen nach sich ziehen, die sie speichern.