Descifrar las conexiones SSL establecidas por un host. Tengo privilegios administrativos en

3

Quiero descifrar una conexión SSL establecida por un archivo binario desconocido en una computadora con Windows 7. Este binario no existe en ninguna otra computadora en nuestra red y establece conexiones cifradas SSL a un host específico en intervalos irregulares. Ahora quiero descifrar la conexión para poder determinar qué datos se transfieren.

Ya intenté interceptar la conexión utilizando mitmproxy y una CA falsa que no funcionó. ¿Hay alguna forma de detectar claves SSL en la RAM o hay otra forma de "capturar" todas las claves utilizadas para descifrar las conexiones SSL?

// El conector se rompe cuando intento usar mitmproxy. Supongo que el binario trae su propia lista de certificados de CA válidos.

    
pregunta davidb 28.10.2015 - 15:14
fuente

3 respuestas

2

Puede probar la metodología que se indica en este artículo: enlace

El autor vuelca la memoria del proceso en ejecución y luego encuentra la clave en ese volcado. Utiliza una lista de cadenas del volcado de memoria como entradas para un ataque de diccionario para descifrar la contraseña de la clave.

Si, como sospechas, el binario tiene sus propios certificados, este podría ser un plan general de ataque para ti.

    
respondido por el J Kimball 28.10.2015 - 21:47
fuente
1

Es posible que deba adjuntar un depurador al proceso cuestionable o provocar un bloqueo del sistema y un volcado de memoria. Luego examine el volcado de memoria, si puede extraer la contraseña del certificado; o el certificado en sí mismo podrás usar una herramienta como Wireshark para interceptar y descifrar el tráfico.

¿El programa es persistente? ¿Puedes apagar la máquina y hacer una copia? ¿Tal vez sería posible algún análisis estático en una máquina virtual independiente?

    
respondido por el torquemada 28.10.2015 - 21:52
fuente
1

Debe instalar la CA raíz y la cadena que conduce al sitio web de interés en la computadora que está tratando de analizar. Esto debería hacer que la víctima asuma que el tráfico interceptado y descifrado re-cifrado proviene de una fuente legítima.

Si la implementación de ssl es tls1.2, entonces no podrá descifrar el tráfico, y la única opción sería intentar interceptar el mensaje fuera del proceso sospechoso antes de que se active la solicitud web.

    
respondido por el user4294507 29.10.2015 - 01:56
fuente

Lea otras preguntas en las etiquetas