Decifrare le connessioni SSL stabilite da un host su cui sono presenti privilegi amministrativi

3

Voglio decodificare una connessione SSL stabilita da un file binario sconosciuto su un computer Windows 7. Questo binario non esiste su nessun altro computer sulla nostra rete e stabilisce connessioni SSL crittografate a un host specifico a intervalli irregolari. Ora voglio decriptare la connessione per poter determinare quali dati sono stati trasferiti.

Ho già provato ad intercettare la connessione usando mitmproxy e una CA falsa che non ha funzionato. C'è un modo per rilevare le chiavi SSL nella RAM o c'è un altro modo per "catturare" tutte le chiavi usate per decifrare le connessioni SSL?

// Il connecton si interrompe quando provo a usare mitmproxy. Presumo che il binario porti il proprio elenco di certificati CA validi.

    
posta davidb 28.10.2015 - 15:14
fonte

3 risposte

2

Potresti provare la metodologia elencata in questo articolo: link

L'autore scarica la memoria del processo in esecuzione e trova la chiave in quel dump. Usa un elenco di stringhe dal dump della memoria come input per un attacco di dizionario per decifrare la password per la chiave.

Se, come sospetti, il binario ha i suoi certificati, allora questo potrebbe essere un piano generale di attacco per te.

    
risposta data 28.10.2015 - 21:47
fonte
1

Potrebbe essere necessario collegare un debugger al processo discutibile o causare un arresto anomalo del sistema e un dump della memoria. Quindi esaminare il dump della memoria - se è possibile estrarre la password dal certificato; o il certificato stesso sarai in grado di utilizzare uno strumento come Wireshark per intercettare e decifrare il traffico.

Il programma è persistente? Puoi spegnere la macchina e farne una copia? Forse qualche analisi statica in una VM standalone sarebbe possibile?

    
risposta data 28.10.2015 - 21:52
fonte
1

È necessario installare la CA principale e la catena che conduce al sito Web di interesse sul computer che si sta tentando di analizzare. Ciò dovrebbe far assumere alla vittima il traffico intercettato e decodificato-re-crittografato proveniente da una fonte legittima.

Se l'implementazione di ssl è tls1.2, non sarai in grado di decodificare il traffico e l'unica opzione sarebbe quella di provare a intercettare il messaggio dal processo sospetto prima che la richiesta web venga effettivamente attivata.

    
risposta data 29.10.2015 - 01:56
fonte