2H4CK
  • 🎯2H4CK
  • 📰Artigos
    • ☁️Cloud
      • 🌩️Encontrando e explorando buckets expostos
    • 🔐Security
      • Let's talk about Wazuh
    • 🌐Web
      • 🌐Como funciona uma aplicação web
      • 💸Comportamento prático de um Stealer
      • 💉Detectando e analisando SQL Injection
      • 🐝OWASP
    • 🪟Windows
      • 🧑‍💻Explorando Kerberos
    • 📡Wireless
      • 🔑Dissecando e atacando o WPA com o Aircrack
  • 🚩Capture the Flag
    • 🟩Hack the Box
      • 🖼️Photobomb
    • ☁️TryHackMe
      • 🪟Attacktive Directory
      • 🕵️Basic Pentesting
      • 🥒Pickle Rick
      • 🌶️Startup
      • 🙀Tomghost
      • 👨‍🚀Vulnversity
  • 📚Hacking Guide
    • 🔥Entendendo e tratando incidentes de segurança
    • 🔢Fases Macro de um Ataque
    • 🕵️Introdução ao Threat Hunting
Powered by GitBook
On this page
  • Contexto
  • Caso de Uso
  • Prova de Conceito
  1. Artigos
  2. Web

Comportamento prático de um Stealer

Olá, viajante! Nesse artigo, trago um case prático do modus operandi de um Stealer. Enjoy!

PreviousComo funciona uma aplicação webNextDetectando e analisando SQL Injection

Last updated 1 year ago

Contexto

Os malwares do tipo Stealer são famosos por tentarem realizar o roubo de informações salvas nos navegadores, como credenciais, endereços, cartões de crédito etc. Os navegadores armazenam as informações salvas pelos usuários em um arquivo, geralmente em SQLite. Alguns stealers bem conhecidos são o e .

Caso de Uso

Tendo em vista que o salvamento de credenciais e/ou outras informações no browser são comuns a maioria dos usuários convencionais, um stealer atua justamente na busca por esses arquivos. Já existem inúmeros scripts automatizados que podem varrer rapidamente um ativo, buscando por arquivos já conhecidos de browsers em seus respectivos diretórios padrão.

Para o caso de uso a seguir, utilizaremos as credenciais salvas no navegador Microsoft Edge.

As credenciais do Edge são armazenadas no seguinte arquivo:

C:\Users\{Username}\AppData\Local\Microsoft\Edge\User Data\Default\Login Data

Levando em conta o arquivo supracitado, podemos monitorar qualquer tentativa de acesso a ele.

python LaZagne.py browsers

Após a coleta ser realizada, algumas outras ações podem acontecer no ativo infectado. Para mantermos a cobertura do caso de uso do início ao fim do processo, precisamos mapear a exfiltração das informações. Nesse caso, utilizaremos o comando Invoke-WebRequest para enviar o conteúdo para o servidor externo:

Prova de Conceito

Após a exfiltração dos dados ter sido realizada, podemos visualizar as informações presentes no servidor externo.

Já existem scripts e aplicações de pós-exploração que automatizam a busca, a coleta e a quebra das senhas de browsers já conhecidos, como o . Sua utilização básica pode ser:

📰
🌐
💸
LaZagne
Raccoon
Redline
Exemplo de arquivo de credenciais salvas no browser
Senha de testes salva no navegador
E-mail de testes sendo capturado dentro do arquivo de origem
Senha capturada em texto claro via LaZagne
Exfiltração do arquivo descriptografado para o servidor remoto
Arquivo exfiltrado dentro do servidor remoto