miércoles, 9 de octubre de 2013

Labsec "archivos cifrados en windows"

Hoy vamos a hacer un laboratorio de descifrado con archivos cifrados en windows XP, aunque es un abandonware, porque Microsoft ya no le da soporte, es un sistema ideal para hacer pruebas por su reducido peso y consumo de recursos comparandolo con W7.

Que necesitamos: Un windows XP con dos cuentas de usuario el administrador donde lo haremos y un invitado que simulara el atacante (puedes usar un programa de virtualizacion tipo VMware o VirtualBox)


Preparando el escenario:
Administrador: Creamos una carpeta en Documentos compartidos y creamos un bloc de notas en el que pondremos contenido dentro. Esta carpeta la ciframos, el metodo de cifrado que usa windows XP es EFS(Encripted File Sistem) , los archivos cifrados cambian de color a verde.



Cambiamos de cuenta a la del atacante, ahora vamos a la carpeta de Documentos compartidos, y probamos los metodos normales para acceder a la informacion del archivo(Cambiar extension, imprimir).



EFS se basa en una mezcla de criptografía pública y privada. En realidad EFS utiliza una clave única por fichero para cifrarlo y descifrarlo. Esta clave (FEK o File Encryption key) se genera automáticamente cuando se cifra un fichero y se almacena con él. Aunque esto parezca inseguro (sería como almacenar la llave junto al candado que protege una puerta) esta FEK es a su vez cifrada con la clave pública del usuario, con lo que queda protegida. Inteco


El primer ataque va a ser con un programa forense de recuperación de 

Advanced EFS Data Recovery de Elcomsoft.



El programa es sencillo, seleccionas el disco duro donde esta, y buscas la carpeta C:\Documents and Settings\All Users\Documentos\cifrados y llegamos a esta pantalla
Menú de resultados


Ahora vamos a la ruta esa y vemos que nos a dejado una carpeta y alli tenemos nuestro archivo descifrado.


Archivo descifrado


En el caso de Windows 7 es lo mismo: 
De no sacarlo a la primera el menú "Ecncrypted files" en este menú aplicamos decrypt y volvemos a sacar los ficheros. El problema que se da es: si la cuenta de administrador tiene contraseña, el cual alomejor necesitaríamos otro ataque para recuperarlo.


Y con el mismo método llegamos al mismo resultado.
Resultado con w7

También se puede recuperar con el certificado, en el caso de Windows 7 solo cifrar sale un asistente para crearlo.

Saludos guerreros!!

No hay comentarios:

Publicar un comentario