8BitSecurity

Uno degli strumenti più importanti nella Digital Forensics è senza ombra di dubbio Volatility.

Se ambisci a diventare un esperto del settore (o se lo sei già) dovrai necessariamente conoscere Volatility in tutte le sue potenzialità e funzionalità.

Volatility è un framework utilizzabile da linea di comando e rilasciato gratuitamente da The Volatility Foundation, che permette di eseguire l’analisi forense di memory dump ed analizzare, quindi, le connessioni attive, i processi in esecuzione, le chiavi di registro e tanto altro.

Può essere utile per eseguire l’analisi di malware sulla macchina, per ottenere informazioni dalla RAM e per realizzare tutte le attività che fanno parte della Memory Forensics.

Le funzioni che Volatility mette a disposizione sono numerose, di seguito ne elenchiamo alcune più rilevanti, ma ti rimandiamo alla documentazione per avere la lista completa:

OS INFORMATION – ImageInfo	vol.py -f “/path/to/file” windows.info
PROCESS INFORMATION: – PsListPsScanPsTree	vol.py -f “/path/to/file” windows.pslist vol.py -f “/path/to/file” windows.psscan vol.py -f “/path/to/file” windows.pstree
PROCDUMP	vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑pid <PID>
DLLS	vol.py -f “/path/to/file” windows.dlllist ‑‑pid <PID>
NETWORK INFORMATION: – Netscan	vol.py -f “/path/to/file” windows.netscan vol.py -f “/path/to/file” windows.netstat
FILES: – FilescanFiledump	vol.py -f “/path/to/file” windows.filescan vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles –(virtaddr/physaddr) <offset>
MALWARE: – MalfindYarascan	vol.py -f “/path/to/file” windows.malfind vol.py -f “/path/to/file” windows.vadyarascan ‑‑yara-rules <string>

Fatta questa doverosa introduzione, se hai aperto questo articolo probabilmente ti starai chiedendo come fare il dump delle password di Windows con Volatility. Procediamo dunque senza ulteriori indugi!

Per poterti mostrare un esempio pratico, abbiamo bisogno di uno use case reale, un dump di memoria di un sistema Windows su cui poter lavorare. Per fare ciò, ci avvaliamo del memory dump di OtterCTF, disponibile al download nella sezione Memory Forensics.

Come sempre, ti ricordiamo che, prima di eseguire attività di memory forensics, malware analysis o digital forensics in generale, è bene attrazzarsi di un ambiente di lavoro virtuale. A tal proposito, ti rimandiamo alla nostra guida per la creazione di un ambiente protetto (Virtual Machine)!

Detto ciò, possiamo dunque iniziare.

Come potrai intuire, dovrai innanzitutto installare Volatility sulla tuo dispositivo. Puoi scaricare liberamente sia la versione 2 che la versione 3. Se stai iniziando adesso ad usare Volatility, ti consigliamo di partire con la versione più recente (3.x), in modo da non doverti trovare a migrarvi successivamente.

Installato il nostro framework e ottenuta una memory image su cui lavorare, possiamo procedere in diversi modi per fare il dump delle password di Windows.

Ricercando tra i comandi annoverati nella documentazione ufficiale, riusciamo ad individuarne uno che sembra fare al caso nostro, lsadump:

Questo comando permette di ottenere informazioni sensibili LSA dal registro di sistema, esponendo dati  come la default password (se autologin è abilitato), la chiave pubblica RDP e le credenziali utilizzate da DPAPI.

Eseguendo quindi il comando sul nostro dump di memoria, otteniamo un output piuttosto interessante:

Proprio nel campo DefaultPassword riusciamo a trovare quello che stavamo cercando!

Una soluzione alternativa a quanto mostrato, potrebbe essere quella di usare il comando hashdump, per estrarre e decrittare la cache di credenziali di dominio conservate nel registro.

In questo modo, otteniamo l’hash della password delle utenze presenti. A questo punto, dovremmo procedere attraverso bruteforce per cercare di risalire alla password in chiaro utilizzando, ad esempio, il tool John the Ripper.

Siamo giunti alla conclusione di questa prima guida su Volatility. Se sei interessato ad approfondire temi nell’ambito della cybersecurity, ti rimandiamo alle nostre altre guide ad 8 bit!