Domanda Chrome password stealer, si può ancora fare

Stato
Discussione chiusa ad ulteriori risposte.

Massimiliano dolcini

Utente Silver
26 Dicembre 2017
105
29
4
60
Salve a tutti, innanzitutto scrivo per un mio dubbio, perchè ho ritirato fuori dal cassetto arduino micro, e ho iniziato a smanettarci un po per ricreare una usb rubber ducky.
Ho scelto di usare il payload che prende le password di chrome (per esempio di facebook o gmail) e che la invia ad un indirizzo mail, dopo un po mi sono accorto che il payload è di due anni fa e infatti non funzionava più, perchè ad ogni tentativo di copiare una password, chiede i dati di accesso.
Allora ho provato ad ispezionare la sorgente della pagina
chrome://settings/password
per modificare il codice javascript e far si che anche solo un alert mi mostrasse la password, ma poi, come immaginavo, non mi faceva eseguire codice js, neanche con una js injection.
Quindi volevo chiedere al giorno oggi è possibile ricavare le password di chrome, modificando qualcosa all'interno della sorgente, oppure direttamente con i tasti premuti, come farebbe una usb rubber ducky.
Grazie
 
Devi decriptare le password usando il file delle credenziali di Windows, guarda il source di un qualsiasi trojan per capire.
 
Ogni istanza di chrome é a stretto contatto con il sistema operativo in uso. La sorgente di cui tu parli non é unica. Per svelare le password é necessario fare una sys call, passare id e password (in caso di windows) e poi successivamente verrebbero svelate le password. Ma ci sono troppi sistemi di sicurezza e ambienti privati...
 
Io ricordo che con la mia rubber ducky utilizzai un payload che restituisce, tramite l'esecuzione di uno script powershell, la password del sistema in chiaro. Tramite l'unione dei due payload secondo me qualcosa si può fare, ma bisogna lavorarci un pochino. Quel payload funzionava su windows 7 comunque, mai testato sul 10.
 
WInodws 10 ha anche gli account online ect ... ci si dovrebbe lavorare un bel po', e chrome ha le istanze protette, eseguire un injection non sarà facile. Tutto è possibile, ma la mole di lavoro è un po' grande...sarebbe da vedere qualche script usato per esempio nel konbot così la bypassi direttamente
 
  • Mi piace
Reazioni: DanyDollaro
Riprendo la discussione, qualcuno ci è riuscito? io ho buttato giù un po di roba con la rubber, ovviamente la funzione che usa chrome interroga l'ID macchina e le credenziali windows (ottenibili facilmente), qualcuno è riuscito ad unire queste due cose e decriptare le password?
 
Si può fare, solo non con semplici script da rubber ducky. Ti serve un software completo che possa usufruire delle API di Windows ed eseguire operazioni crittografiche. Una volta che è pronto puoi scaricarlo/eseguirlo da rubber ducky.
I browser chromium-based usano un file chiamato Login Data che è un database SQLite, per cui ti serve realizzare un programma che usa la libreria SQLite per poterlo interrogare, dopodiché per decifrare il campo della password ti serve ottenere la Master Key cifrata dal file in JSON, Local State, decodificarla da base64, e decifrarla usando l'API nativa di Windows CryptUnprotectData. Con questa chiave ottenuta puoi decifrare tutti i campi delle password usando AES GCM a 256 bit. Sicuramente non è semplice, e la cosa è voluta, ma con queste informazioni oltre a poterlo sviluppare puoi trovare degli esempi già pronti in rete.
 
Ultima modifica:
Si può fare, solo non con semplici script da rubber ducky. Ti serve un software completo che possa usufruire delle API di Windows ed eseguire operazioni crittografiche. Una volta che è pronto puoi scaricarlo/eseguirlo da rubber ducky.
I browser chromium-based usano un file chiamato Login Data che è un database SQLite, per cui ti serve realizzare un programma che usa la libreria SQLite per poterlo interrogare, dopodiché per decifrare il campo della password ti serve ottenere la Master Key cifrata dal file in JSON, Local State, decodificarla da base64, e decifrarla usando l'API nativa di Windows CryptUnprotectData. Con questa chiave ottenuta puoi decifrare tutti i campi delle password usando AES GCM a 256 bit. Sicuramente non è semplice, e la cosa è voluta, ma con queste informazioni oltre a poterlo sviluppare puoi trovare degli esempi già pronti in rete.
confermo in tutto, questo lo fà in automatico chromepass di nirsoft che ovviamente è detected da defender, ma comunque ci sono altre strade per essere più stealth, quindi con una rubber ducky o similare si può fare.
 
confermo in tutto, questo lo fà in automatico chromepass di nirsoft che ovviamente è detected da defender, ma comunque ci sono altre strade per essere più stealth, quindi con una rubber ducky o similare si può fare.
più facile bypassare "defender" che cambiare software per lo steal :/


P.s. ovviamente è una battuta -.-
 
  • Love
Reazioni: DanyDollaro
più facile bypassare "defender" che cambiare software per lo steal :/


P.s. ovviamente è una battuta -.-
Avendo già a portata di mano la rubber ducky o l’arduino quel che sia tanto vale la pena fare un semplice script che disabilita windows defender e poi mettere chromepass di nirsoft sempre nel pc vittima no? e poi sempre con lo script salvare il file delle password e mandarlo per email mi sembra la cosa più facile da fare
 
Avendo già a portata di mano la rubber ducky o l’arduino quel che sia tanto vale la pena fare un semplice script che disabilita windows defender e poi mettere chromepass di nirsoft sempre nel pc vittima no? e poi sempre con lo script salvare il file delle password e mandarlo per email mi sembra la cosa più facile da fare
troppo sgamata come cosa, quando disabiliti defender, stesso windows ti genera l'alert ed esce come avviso, è meglio fare tutti questi passaggi a mano e sfruttando il DPAPI con mimikatz, a meno che non riesci ad offuscare il tool chromepass o similari.
 
Avendo già a portata di mano la rubber ducky o l’arduino quel che sia tanto vale la pena fare un semplice script che disabilita windows defender e poi mettere chromepass di nirsoft sempre nel pc vittima no? e poi sempre con lo script salvare il file delle password e mandarlo per email mi sembra la cosa più facile da fare
appunto ... più facile bypassare defender che cambiare script a causa di quest'ultimo :O
Messaggio unito automaticamente:

troppo sgamata come cosa, quando disabiliti defender, stesso windows ti genera l'alert ed esce come avviso, è meglio fare tutti questi passaggi a mano e sfruttando il DPAPI con mimikatz, a meno che non riesci ad offuscare il tool chromepass o similari.
non è una questione di offuscamento. L'offuscamento serve solo a non essere sgamati dall'analisi statica che effettua l'antivirus (senza considerare che quando gli antivirus trovano un qualcosa di crittato, o meglio detto "paccato", spesso e volentieri lo segnalano comunque, vista l'impossibilità di analizzarlo).

Quando lanci la tua applicazione, quest'ultima dovrà essere decrittata comunque, per eseguire il codice e le diverse azioni. Un analisi dinamica delle applicazioni riconosce facilmente azioni non propriamente classiche, soprattutto se a richiedere i diritti d'amministrazione è un software senza fingerprinter.
 
troppo sgamata come cosa, quando disabiliti defender, stesso windows ti genera l'alert ed esce come avviso, è meglio fare tutti questi passaggi a mano e sfruttando il DPAPI con mimikatz, a meno che non riesci ad offuscare il tool chromepass o similari.
Non penso sia sgamata come cosa solo per un avviso anche perché se proprio è tuo interesse non lasciare nessuna traccia sul pc vittima basta che nello script una volta mandato il file con i dati di login per email riattivi windows defender insomma questione di secondi, se serve io ho uno script di questo tipo l’unica limitazione è che il mio arduino atmega32u4 non avendo un alloggio sd non puo essere riconosciuto anche come memoria esterna e quindi per immettere il payload il chrome pass keylogger o quel che sia mi serve inserire una pendrive su cui ce chromepass di nirsoft oltre all arduino che va a fare da tastiera e ad eseguire lo script
 
Stato
Discussione chiusa ad ulteriori risposte.