Bad-HibernationRamón Pinuaga

¿Quién soy?

• Pentester desde hace más de 16 años para compañías como INNEVIS y S21SEC.

• Actualmente; analista de seguridad y manager del departamento de auditoria en INNEVIS.

• Especializado en técnicas de hacking y seguridad ofensiva.

• Ponente anteriormente en conferencias como Undercon o NoConName.

¿De qué va esta charla?

• Técnica para realizar ataques de Evil-Maid explotando el fichero de hibernación de Windows.

• La hibernación es un mecanismo que permite apagar el equipo sin perder el estado del sistema.

• Nos permite recuperar la memoria completa del equipo (y la información volátil que perderíamos con otras técnicas).

¿Evil-Maid?

¿En qué consiste un ataque Evil-maid?

• Ataque consistente en explotar equipos desatendidos.

• Requiere de acceso físico al equipo.• El nombre viene de que este tipo de ataques

son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.

No solo para la NSA

Técnicas clásicas

• Las formas clásicas de realizar un ataque de Evil-Maid son:– Reiniciar el equipo desde un dispositivo externo (CD,

USB, Konboot, etc.).– Extraer el disco duro y montarlo en otro equipo.

• Una vez tenemos acceso al disco:– Copiamos información.– Reseteamos contraseñas.– Configuramos una puerta trasera.– Implantamos un RAT.

Problemas de las técnicas clásicas

• Pueden alertar al target de que su equipo ha sido manipulado.– Si el equipo no esta apagado.

• Al reiniciar, perdemos la información volátil.– Contraseñas en claro.– Llaves de cifrado.– Sesiones abiertas.

Extracción del disco duro

¿Cómo podemos conservar la información volátil?

• Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc.– Solo los equipos de gama alta suelen tener este

tipo de conectores.• Ataques ColdBoot.– Poco efectivos con memorias modernas.

• Hibernando el equipo y copiando el fichero de hibernación.

¿Qué es la hibernación de Windows?

• Hibernación o suspensión a disco: Mecanismo de Windows que permite apagar el equipo sin perder el estado del sistema.

• Esto se consigue guardando en un fichero (hiberfil.sys) el contenido de la memoria y ciertos datos que permiten reiniciar el equipo en el mismo estado.

• Desactivado por defecto a partir de Windows 7 (algunos fabricantes lo activan), pero se activa al llegar a nivel critico.

Detalles

• El fichero de hibernación se crea en: c:\hiberfil.sys (oculto).

• Windows mantiene abierto este fichero de forma que no puede ser leído mientras el sistema esta funcionando.

• El fichero de hibernación nunca se borra, solo se modifica su cabecera cuando ha sido usado para reiniciar.

• A partir de Windows 10 se puede configurar el grado de compresión.

Formato

• Existe poca documentación oficial sobre la organización de este archivo.

• El fichero hiberfil.sys contiene:– Una cabecera estándar: PO_MEMORY_IMAGE– Contexto y registros del kernel: KPROCESSOR_STATE– Array de bloques de datos codificados/comprimidos

en el formato propietario de Microsoft LZ Xpress: PO_MEMORY_RANGE_ARRAY.

¿Cómo hacemos un Evil-Maid con hibernación?

• Aprovechamos el fichero de hibernación para recuperar la información volátil del equipo.

• Si el equipo esta encendido pero bloqueado:– Hibernamos, copiamos y reiniciamos al estado

inicial (no quedan rastros lógicos de la manipulación).

• Si el equipo esta apagado: Tal vez podemos recuperar un fichero de hibernación antiguo.

Opción de hibernar con equipo bloqueado

¿Qué podemos lograr con esta técnica?

• Extraer información sobre el estado del equipo:– Conexiones abiertas.– Identificadores de sesión.

• Recuperar contraseñas locales en claro.– Usando mimikatz.

• Recuperar llaves de cifrado.– Como si lo hiciésemos de un volcado de memoria

normal.

Extraer información

• De forma manual o con Volatility.• Puede ser tan sencillo como hacer un

“strings”.• Pero Volatility es la opción profesional:– Permite trabajar directamente sobre el fichero

hiberfil.sys o convertirlo en otro formato.– vol.exe hibinfo -f hiberfil.sys

Volatility

Recuperar contraseñas locales

• Las contraseñas locales se almacenan en el registro en forma de hashes.

• Con las técnicas clásicas tendremos que crackearlas o resetearlas.

• Con esta técnica podemos recuperarlas de la memoria con Mimikatz.– Mimikatz no trabaja sobre ficheros de hibernación.– Tenemos que convertir hiberfil.sys en un formato

manejable por Mimikatz.

Paso 1: Obtener hiberfil.sys

• Aquí probablemente tendremos que usar las técnicas clásicas para obtener acceso al disco.

• Nos vale un acceso rápido y de solo lectura.• A veces podemos obtener este fichero por

otras fuentes: Backups, Vulnerabilidades de lectura remota de ficheros*, etc.

Paso 2: Volatility

• Mimikatz puede trabajar como plugin de Windbg.• Pero Windbg no soporta ficheros de hibernación.• Pero si volcados de crash dump (DMPs).• Podemos convertir el fichero de hibernación en

un DMP con Volatility.• Comando:– vol.exe raw2dmp -f hiberfil.sys -O hiberfil.dmp

Paso 3: Windbg

• Como cargar un DMP:– File > Open Crash Dump (ctrl-d)– .symfix– .reload

• Si es una imagen de 64bits– .load wow64exts– !wow64exts.sw

Paso 4: Mimikatz

• Una vez tenemos el volcado de memoria cargado:– .load c:\mimilib.dll– !process 0 0 lsass.exe– .process /r /p XXXXX– !mimikatz

DEMO

Extracción de llaves de cifrado

• Volatility soporta ficheros de hibernación y además de convertirlos a DMP podemos utilizar otros plugins para extraer llaves de cifrado y tokens o identificadores de sesión.

• Plugins interesantes:– Truecryptpassphrase – Truecryptmaster– Bitlocker (https://github.com/elceef/bitlocker)

Elcomsoft Forensic

Contramedidas

• Utilizar un sistema de FDE en arranque (comprobando que se cifra el fichero hiberfil.sys).

• Deshabilitar la opción de hibernación:– Powercfg.exe /h off

• No dejar el PC desatendido.

Conclusiones

• Hibernación: Funcionalidad por defecto de Windows con ciertos riesgos poco conocidos.

• Fáciles de mitigar si se conocen.• Aun así: “Fear de Evil-Maid!”

• Gracias por la atención:– https://twitter.com/rpinuaga