Seguridad en Sistemas y Tecnicas de Hacking.

El volcado y análisis de memoria de uno o varios de los procesos de una maquina comprometida, es una de las primeras actividades que realizará un hacker en un proceso de post-explotacion, este tópico le permitirá recolectar información sobre el objetivo para intentar garantizar el acceso futuro y/o profundizar el ataque con el objetivo de comprometer más maquinas en el segmento de red, o simplemente búscar más vulnerabilidades que le permitan garantizar accesos futuros.

En esta entrada se intentará indicar el uso del script memdump.rb y Volatility FrameWork con Meterpreter, este script permite realizar un volcado de la memoria del objetivo comprometido en un fichero con toda la información de los procesos que se encontraban en ejecución al momento de realizar el volcado, este script se apoya en la herramienta ManTech Memory DD (mdd) la cual se encarga de generar una imagen forense de la memoria física del sistema y la almacena como un fichero binario “crudo” (raw). Puede copiar 4 GB de memoria a un fichero para su posterior análisis, esta herramienta es excelente para ser empleada por otro software que identifique rootkits u otro código malicioso residiendo en el sistema, (aunque esta información es útil para el atacante, para saber principalmente, si la maquina comprometida ha sido atacada con anterioridad por alguien más y ha dejado sus rastros).

Leer más…