Cómo encontrar contraseñas en la memoria (administradores de contraseñas)

En primer lugar, utilicé Google Academic para buscar artículos sobre LastPass, administradores de contraseñas y memoria forense. Fue la última que encontré más útil

Amari, K. (2009) Técnicas y herramientas para recuperar y analizar datos de la memoria volátil.

Después de obtener un análisis y extracción de memoria comprensivos, creé una máquina virtual de Windows 7 con 2 GB de RAM, instalé algunos navegadores en algunas páginas web, instalé LastPass, reinicié la máquina y capturé un volcado de memoria usando DUMPIT (Buscar DUMP IT Memory dump). Analicé el volcado de memoria utilizando la estación de trabajo SIFT, en el terminal usé el comando

strings windows7.raw | grep “password” > output.txt 

Intercambiando "contraseña" por direcciones de correo electrónico, contraseñas conocidas de cuentas falsas, nombres de sitios web, etc. No encontré nada, por lo que la memoria estaba limpia.

Luego inicié sesión en LastPass y tomé otro volcado de memoria usando la misma herramienta. Al analizar este archivo se resaltaron varios valores de hash, que confirmaron lo que LastPass dice en su sitio: LastPass almacena los valores de hash cifrados en la memoria.

A continuación, decidí iniciar sesión en sitios web y cuentas, pero no todos ellos solo un número aleatorio de ellos y tomé otro volcado de memoria. Usando los mismos métodos que antes, encontré contraseñas descifradas, dirección de correo electrónico y otra información, esto significa que cuando visita un sitio web para el cual LastPass tiene una contraseña, la descifra y la almacena en la memoria para que la use su navegador. También debo decir que incluso si no usa LastPass y en su lugar usa un navegador (s) integrado en los administradores de contraseñas, obtendrá los mismos resultados.

Por lo tanto, podría decir que necesitaba saber la contraseña en primer lugar, no busqué simplemente como "pass" o en el caso de los sitios web de Google "Passwd" en el volcado de memoria que proporcionaron las contraseñas.

Si vuelvo a hacer esto, seguiría todos los pasos anteriores. Sin embargo, me desconectaría de la cuenta de Windows y me conectaría a otra cuenta para ver si puedo obtener las contraseñas de ese volcado de memoria. Sospecho que significa que puedes inicie sesión en una computadora pública y obtenga las contraseñas de los usuarios anteriores desde allí volcado de memoria.

Yo diría que LastPass es seguro hasta que inicie sesión en un sitio web, es muy poco probable que alguien pueda descifrar los valores de hash. Al final, no use LastPass ni ninguna otra contraseña en una computadora pública.

Tal vez una forma sencilla de continuar con esta investigación sería utilizar algunas de las herramientas que normalmente se dedican a los juegos tramposos analizando y editando directamente el contenido de la memoria del software objetivo. Busca cosas como " trucos de búsqueda de memoria del juego " en tu motor de búsqueda favorito, y deberías encontrar varias de ellas.

Los programas a los que me refiero para tomar una instantánea de la memoria virtual de la aplicación de destino y, a continuación, le permite:

• Busque un valor específico (incluido el valor de texto en algún caso, que definitivamente debería interesarle, ya que le permitiría buscar su contraseña),
• Compare las instantáneas tomadas en diferentes momentos para analizar los cambios.

La siguiente búsqueda en Google produce varios trabajos académicos.

inurl:\.edu\/ filetype:pdf password manager

Como prueba, puede ejecutar bulk_extractor en una imagen de memoria en busca de una combinación conocida de nombre de usuario / contraseña.