SlideShare uma empresa Scribd logo

(131102) #fitalk get windows logon password in memory dump

INSIGHT FORENSIC
INSIGHT FORENSIC

2013 F-INSIGHT TALK

Tecnologia
1 de 20
Baixar para ler offline
FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Get Windows Logon Password in Memory Dump Deok9 DDeok9@gmail.com
forensicinsight.org Page 2 Contents of Table 1. Introduction 2. WDigest.dll 3. Get Windows Logon Password in Live 4. Get Windows Logon Password in Memory Dump 5. Conclusion
forensicinsight.org Page 3 Introduction
forensicinsight.org Page 4 Introduction  Mimikatz가 나오기 전 • 레지스트리 • 윈도우 로그온 세션 기존 윈도우 로그온 패스워드 획득 방법 사용 파일 패스워드의 NTLM 해쉬 획득 방법 SAM SAM 하이브 파일의 값 복호화 NTDS.DIT NTDS.DIT의 데이터베이스 테이블 추출 후 복호화 NTDS.DIT /SAM NTDS.DIT/SAM 하이브 파일의 Password History 정보를 이용 SECURITY SECURITY 하이브 파일의 LSA Secret 복호화 SECURITY SECURITY 하이브 파일의 Cached Domain Logon 정보를 이용 MSV1.0 윈도우 로그온 세션의 Credential 정보를 이용 F-Insight 6월 The Stealing Windows Password 참고
forensicinsight.org Page 5 Introduction  모두 NTLM 해시 값을 획득하는 방법들임 • 패스워드 크랙 도구를 통해 크랙해야 함  John the Ripper, Ophcrack, Cain & Abel ETC • 패스워드가 매우 길다면?  평문 얻기 위해 매우 많은 시간 소요  문제점 해결을 위해 Mimikatz 등장(2012) • 라이브 상태에서 DLL Injection을 통해 윈도우 로그온 패스워드 평문 획득 • 윈도우 인증 패키지를 사용 문제점 & Mimikatz
forensicinsight.org Page 6 WDigest.dll
forensicinsight.org Page 7 WDigest.dll  윈도우 보안을 구현하는 주요 구성 요소 중 하나 • LSASS 프로세스와 클라이언트 프로세스 내에서 실행되는 DLL을 포함 • 인증 패키지에서 사용하는 DLL : 주어진 사용자 이름과 패스워드가 일치하는지 여부 검사  일치하는 경우 : LSASS에 좀 더 상세한 사용자 정보 반환 -> LSASS가 토큰 생성 • Challenge-Response 방식을 통해 특정 필요 데이터를 메모리에 항상 가지고 있는 특징  대표적인 패키지 • MSV1_0, TsPkg, WDigest, LiveSSP, Kerberos, SSP 등 • Remote RDP, 웹 서비스 등 다양한 용도에 의해 구현 윈도우 인증 패키지
forensicinsight.org Page 8 WDigest.dll  윈도우 XP 에서 처음 소개 됨  HTTP Digest 인증 및 SASL(Simple Authentication Security Layer) 교환에서 사용자 인증을 위해 개발  NTLM 프로토콜과 같이 Challenge-Response 방식을 사용  인증을 위해서는 사용자의 평문 패스워드가 필요한 특징이 있어 이를 악용 가능 WDigest.dll 소개
forensicinsight.org Page 9  WDigest.dll • 인증을 위해 사용되는 SSP 구현  Lsasrv.dll • 보안 서비스 관리 및 동작에 관여  Secure32.dll • 유저 모드 응용프로그램 SSPI 구현  Ksecdd.sys • 커널 보안 장치 드라이버가 유저 모드에서 LSASS와 통신하는데 사용 WDigest.dll WDigest.dll Digest 인증 아키텍처
forensicinsight.org Page 10 Get Windows Logon Password in Live
forensicinsight.org Page 11 Get Windows Logon Password in Live 동작 과정
forensicinsight.org Page 12 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  LSASS의 LsaEnumerateLogonSessions • 시스템에 존재하는 로그온 세션 식별자(LUID) 들과 세션들의 수를 획득 • PULONG LogonSessionCount 변수 : 로그온 세션의 개수 • PLUID LogonSessionList 변수 : 로그온 세션 식별자들 중 첫 번째 요소의 주소 값 • 시스템에 존재하는 로그온 세션 리스트 추적 가능  WDigest.dll 의 l_LogSessList • 리스트 엔트리 구조체 • Flink, Blink, LUID 및 유니코드 문자열로 된 사용자 명, 도메인, 암호화된 패스워드 등을 가짐
forensicinsight.org Page 13 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  Lsasrv.dll의 LsaUnprotectedMemory • l_LogSessList 에서 획득한 암호화된 패스워드 복호화 • PVOID Buffer 변수 : 입력 또는 출력에 따라 복호화 된 또는 복호화 될 버퍼의 주소를 가짐 • ULONG BufferSize 변수 : 바이트 단위인 버퍼의 크기를 가짐 • 복호화 된 패스워드 값이 있는 주소를 Buffer 포인터 변수를 통해 획득 가능  LsaUnprotectedMemory Decompile • 내부적으로 LsaEncryptMemory 함수 호출
forensicinsight.org Page 14 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  LsaEncryptMemory Decompile
forensicinsight.org Page 15 Get Windows Logon Password in Memory Dump
forensicinsight.org Page 16 Get Windows Logon Password in Memory Dump 필요 요소  메모리 덤프에서 필요한 값을 찾고 추적하기 위해서는 가상 주소와 물리 주소 매핑을 통한 변환 작업 필요 분류 설명 필요한 dll WDigest.dll : 암호화된 패스워드 값의 주소를 가지고 있음 Lsasrv.dll : 암호화된 패스워드의 복호화를 위해 필요 찾아야 할 값 WDigest.dll : l_LogSessList 의 암호화된 패스워드 값의 주소 Lsasrv.dll : 3DesKey 값(실제 pbSecret를 추적하기 위한 핸들), pbIV 값
forensicinsight.org Page 17 Get Windows Logon Password in Memory Dump DEMO Manual & Plugin
forensicinsight.org Page 18 Conclusion
forensicinsight.org Page 19 Conclusion 아직 미흡  다양한 인증 패키지 모두 적용 가능하도록 수정  64비트 환경에서도 가능하도록 수정  Dll Injection 을 통해 패스워드 추출은 사용자 PC 장악 후 공격에는 유용하나 포렌식에 서는 별로 쓸모가 없을 듯  Live 상태에서 가능한 도구를 Memory Dump에 적용하고 싶었음 . . .
forensicinsight.org Page 20 Question and Answer

Recomendados

(알도개) 오라클 블록체인 아키텍처 살펴보기
(알도개) 오라클 블록체인 아키텍처 살펴보기(알도개) 오라클 블록체인 아키텍처 살펴보기
(알도개) 오라클 블록체인 아키텍처 살펴보기Jay Park
 
(OCI 탐험일지) 시작!
(OCI 탐험일지) 시작!(OCI 탐험일지) 시작!
(OCI 탐험일지) 시작!Jay Park
 
Cloudoc supermicro mini_svr_appliance_kor_20171019
Cloudoc supermicro mini_svr_appliance_kor_20171019Cloudoc supermicro mini_svr_appliance_kor_20171019
Cloudoc supermicro mini_svr_appliance_kor_20171019sang yoo
 
이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)Colin Chae
 
(알도개) GitHub 보안 개선
(알도개) GitHub 보안 개선(알도개) GitHub 보안 개선
(알도개) GitHub 보안 개선Jay Park
 
마리아Db
마리아Db마리아Db
마리아DbSukjin Yun
 
8 week: Technology of Platformless Media Blockchain
8 week: Technology of Platformless Media Blockchain8 week: Technology of Platformless Media Blockchain
8 week: Technology of Platformless Media BlockchainDaemin Park
 
(OCI 탐험일지) 인스턴스 생성
(OCI 탐험일지) 인스턴스 생성(OCI 탐험일지) 인스턴스 생성
(OCI 탐험일지) 인스턴스 생성Jay Park
 

Recomendados

(알도개) 오라클 블록체인 아키텍처 살펴보기
(알도개) 오라클 블록체인 아키텍처 살펴보기(알도개) 오라클 블록체인 아키텍처 살펴보기
(알도개) 오라클 블록체인 아키텍처 살펴보기Jay Park
 
(OCI 탐험일지) 시작!
(OCI 탐험일지) 시작!(OCI 탐험일지) 시작!
(OCI 탐험일지) 시작!Jay Park
 
Cloudoc supermicro mini_svr_appliance_kor_20171019
Cloudoc supermicro mini_svr_appliance_kor_20171019Cloudoc supermicro mini_svr_appliance_kor_20171019
Cloudoc supermicro mini_svr_appliance_kor_20171019sang yoo
 
이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)Colin Chae
 
(알도개) GitHub 보안 개선
(알도개) GitHub 보안 개선(알도개) GitHub 보안 개선
(알도개) GitHub 보안 개선Jay Park
 
마리아Db
마리아Db마리아Db
마리아DbSukjin Yun
 
8 week: Technology of Platformless Media Blockchain
8 week: Technology of Platformless Media Blockchain8 week: Technology of Platformless Media Blockchain
8 week: Technology of Platformless Media BlockchainDaemin Park
 
(OCI 탐험일지) 인스턴스 생성
(OCI 탐험일지) 인스턴스 생성(OCI 탐험일지) 인스턴스 생성
(OCI 탐험일지) 인스턴스 생성Jay Park
 
비트코인 아직도 몰라?
비트코인 아직도 몰라?비트코인 아직도 몰라?
비트코인 아직도 몰라?Insight Campus
 
Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)Fermat Jade
 
Bitcoin presantation add part2
Bitcoin presantation add part2Bitcoin presantation add part2
Bitcoin presantation add part2헌진 김
 
쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움Dae Hyun Nam
 
Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스세구 강
 
Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기정웅 박
 
(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성Jay Park
 
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)Colin Chae
 
JWT
JWTJWT
JWTseoyoonah
 
가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발상욱 송
 
[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석Jung SunWook
 
액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템if kakao
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System환석 주
 
(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shell(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shellJay Park
 
블록체인
블록체인블록체인
블록체인정식 황
 
분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]inucreative
 
04 자바 네트워크
04 자바 네트워크04 자바 네트워크
04 자바 네트워크arahansa yong
 
Mastering bitocin chap5
Mastering bitocin chap5Mastering bitocin chap5
Mastering bitocin chap5제호 송
 
비트코인 채굴과정
비트코인 채굴과정비트코인 채굴과정
비트코인 채굴과정Seong-Bok Lee
 
Encrypted media extention
Encrypted media extentionEncrypted media extention
Encrypted media extentionTaehyun Kim
 
(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker(130727) #fitalk rp log tracker
(130727) #fitalk rp log trackerINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 

Mais conteúdo relacionado

Mais procurados

비트코인 아직도 몰라?
비트코인 아직도 몰라?비트코인 아직도 몰라?
비트코인 아직도 몰라?Insight Campus
 
Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)Fermat Jade
 
Bitcoin presantation add part2
Bitcoin presantation add part2Bitcoin presantation add part2
Bitcoin presantation add part2헌진 김
 
쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움Dae Hyun Nam
 
Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스세구 강
 
Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기정웅 박
 
(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성Jay Park
 
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)Colin Chae
 
가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발상욱 송
 
[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석Jung SunWook
 
액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템if kakao
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System환석 주
 
(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shell(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shellJay Park
 
분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]inucreative
 
04 자바 네트워크
04 자바 네트워크04 자바 네트워크
04 자바 네트워크arahansa yong
 
Mastering bitocin chap5
Mastering bitocin chap5Mastering bitocin chap5
Mastering bitocin chap5제호 송
 
비트코인 채굴과정
비트코인 채굴과정비트코인 채굴과정
비트코인 채굴과정Seong-Bok Lee
 
Encrypted media extention
Encrypted media extentionEncrypted media extention
Encrypted media extentionTaehyun Kim
 

Mais procurados (20)

비트코인 아직도 몰라?
비트코인 아직도 몰라?비트코인 아직도 몰라?
비트코인 아직도 몰라?
 
Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)Blockchain Study(3) - 이더리움(Geth)
Blockchain Study(3) - 이더리움(Geth)
 
Bitcoin presantation add part2
Bitcoin presantation add part2Bitcoin presantation add part2
Bitcoin presantation add part2
 
쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움쉽게 풀어쓴 블록체인과 이더리움
쉽게 풀어쓴 블록체인과 이더리움
 
Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스Egis i 제안서(2014.03) 아이웍스
Egis i 제안서(2014.03) 아이웍스
 
Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기Node-express 채팅 서버 개발기
Node-express 채팅 서버 개발기
 
(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성(OCI 탐험일지) 블록 볼륨 생성
(OCI 탐험일지) 블록 볼륨 생성
 
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
예제로 배우는 이더리움 결제구현 (거래소 지갑 구현 예시)
 
JWT
JWTJWT
JWT
 
가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발가상화폐 개념 및 거래 기초개발
가상화폐 개념 및 거래 기초개발
 
[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석[고숙한 세미나] 블록체인 취약점 분석
[고숙한 세미나] 블록체인 취약점 분석
 
액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템액티브X 없는 블록체인 기반 PKI 시스템
액티브X 없는 블록체인 기반 PKI 시스템
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System
 
(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shell(OCI 탐험일지) cloud shell
(OCI 탐험일지) cloud shell
 
블록체인
블록체인블록체인
블록체인
 
분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]분산형 컴퓨팅 플랫폼 [에테리움]
분산형 컴퓨팅 플랫폼 [에테리움]
 
04 자바 네트워크
04 자바 네트워크04 자바 네트워크
04 자바 네트워크
 
Mastering bitocin chap5
Mastering bitocin chap5Mastering bitocin chap5
Mastering bitocin chap5
 
비트코인 채굴과정
비트코인 채굴과정비트코인 채굴과정
비트코인 채굴과정
 
Encrypted media extention
Encrypted media extentionEncrypted media extention
Encrypted media extention
 

Destaque

(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker(130727) #fitalk rp log tracker
(130727) #fitalk rp log trackerINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)INSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(130622) #fitalk i cloud keychain forensics
(130622) #fitalk i cloud keychain forensics(130622) #fitalk i cloud keychain forensics
(130622) #fitalk i cloud keychain forensicsINSIGHT FORENSIC
 
(130727) #fitalk pfp (portable forensic platform), #2 story
(130727) #fitalk pfp (portable forensic platform), #2 story(130727) #fitalk pfp (portable forensic platform), #2 story
(130727) #fitalk pfp (portable forensic platform), #2 storyINSIGHT FORENSIC
 
(130622) #fitalk trend of personal information protection
(130622) #fitalk trend of personal information protection(130622) #fitalk trend of personal information protection
(130622) #fitalk trend of personal information protectionINSIGHT FORENSIC
 

Destaque (20)

(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
Ntfs forensics
Ntfs forensicsNtfs forensics
Ntfs forensics
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(130622) #fitalk i cloud keychain forensics
(130622) #fitalk i cloud keychain forensics(130622) #fitalk i cloud keychain forensics
(130622) #fitalk i cloud keychain forensics
 
(130727) #fitalk pfp (portable forensic platform), #2 story
(130727) #fitalk pfp (portable forensic platform), #2 story(130727) #fitalk pfp (portable forensic platform), #2 story
(130727) #fitalk pfp (portable forensic platform), #2 story
 
(130622) #fitalk trend of personal information protection
(130622) #fitalk trend of personal information protection(130622) #fitalk trend of personal information protection
(130622) #fitalk trend of personal information protection
 

Semelhante a (131102) #fitalk get windows logon password in memory dump

(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows passwordINSIGHT FORENSIC
 
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기Manjong Han
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
Spring Security
Spring SecuritySpring Security
Spring SecurityDataUs
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기INSIGHT FORENSIC
 
Redis data design by usecase
Redis data design by usecaseRedis data design by usecase
Redis data design by usecaseKris Jeong
 
Introducing the safest security system, IBM LinuxONE
Introducing the safest security system, IBM LinuxONE Introducing the safest security system, IBM LinuxONE
Introducing the safest security system, IBM LinuxONE HyungSun(Sean) Kim
 
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.(Joe), Sanghun Kim
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3Amazon Web Services Korea
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안창열 최
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육NAVER D2 STARTUP FACTORY
 
Hadoop security DeView 2014
Hadoop security DeView 2014Hadoop security DeView 2014
Hadoop security DeView 2014Gruter
 
모바일 게임 하이브 런칭기 - 최용호
모바일 게임 하이브 런칭기 - 최용호모바일 게임 하이브 런칭기 - 최용호
모바일 게임 하이브 런칭기 - 최용호용호 최
 
[하시코프] Vault 소개자료 (국문) Nov2021
[하시코프] Vault 소개자료 (국문) Nov2021[하시코프] Vault 소개자료 (국문) Nov2021
[하시코프] Vault 소개자료 (국문) Nov2021Jin Sol Kim 김진솔
 
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)[AWSKRUG] 모바일게임 하이브 런칭기 (2018)
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)용호 최
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypterINSIGHT FORENSIC
 

Semelhante a (131102) #fitalk get windows logon password in memory dump (20)

(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password
 
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기
 
게이트단의 보안
게이트단의 보안게이트단의 보안
게이트단의 보안
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
Spring Security
Spring SecuritySpring Security
Spring Security
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
Redis data design by usecase
Redis data design by usecaseRedis data design by usecase
Redis data design by usecase
 
Introducing the safest security system, IBM LinuxONE
Introducing the safest security system, IBM LinuxONE Introducing the safest security system, IBM LinuxONE
Introducing the safest security system, IBM LinuxONE
 
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.
[IBM 서버] 가장 강력한 보안을 자랑하는 서버시스템 Linuxone 을 소개합니다.
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
 
성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
Hadoop security DeView 2014
Hadoop security DeView 2014Hadoop security DeView 2014
Hadoop security DeView 2014
 
피니엔진
피니엔진피니엔진
피니엔진
 
모바일 게임 하이브 런칭기 - 최용호
모바일 게임 하이브 런칭기 - 최용호모바일 게임 하이브 런칭기 - 최용호
모바일 게임 하이브 런칭기 - 최용호
 
[하시코프] Vault 소개자료 (국문) Nov2021
[하시코프] Vault 소개자료 (국문) Nov2021[하시코프] Vault 소개자료 (국문) Nov2021
[하시코프] Vault 소개자료 (국문) Nov2021
 
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)[AWSKRUG] 모바일게임 하이브 런칭기 (2018)
[AWSKRUG] 모바일게임 하이브 런칭기 (2018)
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 

Mais de INSIGHT FORENSIC

(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropboxINSIGHT FORENSIC
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 
(130727) #fitalk anonymous network concepts and implementation
(130727) #fitalk anonymous network concepts and implementation(130727) #fitalk anonymous network concepts and implementation
(130727) #fitalk anonymous network concepts and implementationINSIGHT FORENSIC
 
(130720) #fitalk trends in d forensics
(130720) #fitalk trends in d forensics(130720) #fitalk trends in d forensics
(130720) #fitalk trends in d forensicsINSIGHT FORENSIC
 

Mais de INSIGHT FORENSIC (12)

(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 
(130727) #fitalk anonymous network concepts and implementation
(130727) #fitalk anonymous network concepts and implementation(130727) #fitalk anonymous network concepts and implementation
(130727) #fitalk anonymous network concepts and implementation
 
(130720) #fitalk trends in d forensics
(130720) #fitalk trends in d forensics(130720) #fitalk trends in d forensics
(130720) #fitalk trends in d forensics
 

Último

캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스
 
Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Wonjun Hwang
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionKim Daeun
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Kim Daeun
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Wonjun Hwang
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)Tae Young Lee
 

Último (6)

캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차
 
Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)
 

(131102) #fitalk get windows logon password in memory dump

  • 1. FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Get Windows Logon Password in Memory Dump Deok9 DDeok9@gmail.com
  • 2. forensicinsight.org Page 2 Contents of Table 1. Introduction 2. WDigest.dll 3. Get Windows Logon Password in Live 4. Get Windows Logon Password in Memory Dump 5. Conclusion
  • 4. forensicinsight.org Page 4 Introduction  Mimikatz가 나오기 전 • 레지스트리 • 윈도우 로그온 세션 기존 윈도우 로그온 패스워드 획득 방법 사용 파일 패스워드의 NTLM 해쉬 획득 방법 SAM SAM 하이브 파일의 값 복호화 NTDS.DIT NTDS.DIT의 데이터베이스 테이블 추출 후 복호화 NTDS.DIT /SAM NTDS.DIT/SAM 하이브 파일의 Password History 정보를 이용 SECURITY SECURITY 하이브 파일의 LSA Secret 복호화 SECURITY SECURITY 하이브 파일의 Cached Domain Logon 정보를 이용 MSV1.0 윈도우 로그온 세션의 Credential 정보를 이용 F-Insight 6월 The Stealing Windows Password 참고
  • 5. forensicinsight.org Page 5 Introduction  모두 NTLM 해시 값을 획득하는 방법들임 • 패스워드 크랙 도구를 통해 크랙해야 함  John the Ripper, Ophcrack, Cain & Abel ETC • 패스워드가 매우 길다면?  평문 얻기 위해 매우 많은 시간 소요  문제점 해결을 위해 Mimikatz 등장(2012) • 라이브 상태에서 DLL Injection을 통해 윈도우 로그온 패스워드 평문 획득 • 윈도우 인증 패키지를 사용 문제점 & Mimikatz
  • 7. forensicinsight.org Page 7 WDigest.dll  윈도우 보안을 구현하는 주요 구성 요소 중 하나 • LSASS 프로세스와 클라이언트 프로세스 내에서 실행되는 DLL을 포함 • 인증 패키지에서 사용하는 DLL : 주어진 사용자 이름과 패스워드가 일치하는지 여부 검사  일치하는 경우 : LSASS에 좀 더 상세한 사용자 정보 반환 -> LSASS가 토큰 생성 • Challenge-Response 방식을 통해 특정 필요 데이터를 메모리에 항상 가지고 있는 특징  대표적인 패키지 • MSV1_0, TsPkg, WDigest, LiveSSP, Kerberos, SSP 등 • Remote RDP, 웹 서비스 등 다양한 용도에 의해 구현 윈도우 인증 패키지
  • 8. forensicinsight.org Page 8 WDigest.dll  윈도우 XP 에서 처음 소개 됨  HTTP Digest 인증 및 SASL(Simple Authentication Security Layer) 교환에서 사용자 인증을 위해 개발  NTLM 프로토콜과 같이 Challenge-Response 방식을 사용  인증을 위해서는 사용자의 평문 패스워드가 필요한 특징이 있어 이를 악용 가능 WDigest.dll 소개
  • 9. forensicinsight.org Page 9  WDigest.dll • 인증을 위해 사용되는 SSP 구현  Lsasrv.dll • 보안 서비스 관리 및 동작에 관여  Secure32.dll • 유저 모드 응용프로그램 SSPI 구현  Ksecdd.sys • 커널 보안 장치 드라이버가 유저 모드에서 LSASS와 통신하는데 사용 WDigest.dll WDigest.dll Digest 인증 아키텍처
  • 10. forensicinsight.org Page 10 Get Windows Logon Password in Live
  • 11. forensicinsight.org Page 11 Get Windows Logon Password in Live 동작 과정
  • 12. forensicinsight.org Page 12 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  LSASS의 LsaEnumerateLogonSessions • 시스템에 존재하는 로그온 세션 식별자(LUID) 들과 세션들의 수를 획득 • PULONG LogonSessionCount 변수 : 로그온 세션의 개수 • PLUID LogonSessionList 변수 : 로그온 세션 식별자들 중 첫 번째 요소의 주소 값 • 시스템에 존재하는 로그온 세션 리스트 추적 가능  WDigest.dll 의 l_LogSessList • 리스트 엔트리 구조체 • Flink, Blink, LUID 및 유니코드 문자열로 된 사용자 명, 도메인, 암호화된 패스워드 등을 가짐
  • 13. forensicinsight.org Page 13 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  Lsasrv.dll의 LsaUnprotectedMemory • l_LogSessList 에서 획득한 암호화된 패스워드 복호화 • PVOID Buffer 변수 : 입력 또는 출력에 따라 복호화 된 또는 복호화 될 버퍼의 주소를 가짐 • ULONG BufferSize 변수 : 바이트 단위인 버퍼의 크기를 가짐 • 복호화 된 패스워드 값이 있는 주소를 Buffer 포인터 변수를 통해 획득 가능  LsaUnprotectedMemory Decompile • 내부적으로 LsaEncryptMemory 함수 호출
  • 14. forensicinsight.org Page 14 Get Windows Logon Password in Live 동작에 사용되는 요소 설명  LsaEncryptMemory Decompile
  • 15. forensicinsight.org Page 15 Get Windows Logon Password in Memory Dump
  • 16. forensicinsight.org Page 16 Get Windows Logon Password in Memory Dump 필요 요소  메모리 덤프에서 필요한 값을 찾고 추적하기 위해서는 가상 주소와 물리 주소 매핑을 통한 변환 작업 필요 분류 설명 필요한 dll WDigest.dll : 암호화된 패스워드 값의 주소를 가지고 있음 Lsasrv.dll : 암호화된 패스워드의 복호화를 위해 필요 찾아야 할 값 WDigest.dll : l_LogSessList 의 암호화된 패스워드 값의 주소 Lsasrv.dll : 3DesKey 값(실제 pbSecret를 추적하기 위한 핸들), pbIV 값
  • 17. forensicinsight.org Page 17 Get Windows Logon Password in Memory Dump DEMO Manual & Plugin
  • 19. forensicinsight.org Page 19 Conclusion 아직 미흡  다양한 인증 패키지 모두 적용 가능하도록 수정  64비트 환경에서도 가능하도록 수정  Dll Injection 을 통해 패스워드 추출은 사용자 PC 장악 후 공격에는 유용하나 포렌식에 서는 별로 쓸모가 없을 듯  Live 상태에서 가능한 도구를 Memory Dump에 적용하고 싶었음 . . .