U području računalne forenzike, gdje su otkrivanje digitalnih tragova i analiza dobivenih informacija ključni, dolazi do potrebe ubrzavanja sporih i mukotrpnih forenzičkih procesa. Alati koji otkrivaju skrivene informacija s računala, poput LaZagne-a će olakšati taj posao. LaZagne je open source aplikacija za ekstrakciju vjerodajnica s lokalnog računala. Aplikacije lokalno pohranjuju korisnička imena i lozinke na različite načine, a ovaj alat implementira načine ekstrakcije iz često korištenih aplikacija poput web preglednika, email klijenata, chat aplikacija, programa za udaljena spajanja,… Alat je od koristi forenzičarima i ekspertima za sigurnost, ali može predstavljati rizik ukoliko ga koriste napadači u maliciozne svrhe. Cilj rada je objasniti tehničke aspekte vezane za funkcioniranje i primjenu alata LaZagne u kontekstu računalne forenzike.

Ključne riječi: LaZagne, ekstrakcija vjerodajnica, credentials dumping

U kontekstu računalne forenzike treba razumjeti značaj otkrivanja skrivenih informacija, odnosno u ovom slučaju ekstrakcije pohranjenih vjerodajnica. Ekstrakcija vjerodajnica (engl. Credentials dumping) je pojam koji se odnosi na neautorizirano pribavljanje podataka za prijavu u određeni sustav ili aplikaciju [1]. Često se koristi u svijetu kibernetičke sigurnosti i računalne forenzike jer ekstrakcijom vjerodajnica možemo procijeniti razinu sigurnosti koje se korisnik pridržava, ali tako i motivaciju napadača. Ukoliko za vrijeme forenzičke istrage otkrijemo da se s kompromitiranog računala mogu pribaviti razne vjerodajnice, pogotovo one s višim ovlastima, onda možemo razjasniti motive i metode napadača. Tako ćemo bolje rekonstruirati tijek napada i lakše pripisati akcije specifičnim korisnicima.

LaZagne se tu uklapa kao vrijedan forenzički alat. Projekt je otvorenog koda (engl. Open source), u njegovu stvaranju je sudjelovalo mnoštvo ljudi i svatko može sam izmijeniti ili nadograditi alat [2]. Projekt se u početku bavio isključivo ekstrakcijom vjerodajnica iz web preglednika, no s vremenom je evoluirao i sada predstavlja svojevrsnog digitalnog detektiva koji može identificirati vjerodajnice iz različitih izvora, aplikacija i protokola. Vrste vjerodajnica koje pokriva mogu biti čitljive lozinke, pinovi, certifikati,… Alat je pisan u programskom jeziku Python i prilagođen je za izvršavanje na više operacijskih sustava.

LaZagne nudi sveobuhvatan pristup ekstrakciji vjerodajnica, dizajniran je modularno, tako da se logika za izvlačenje osjetljivih podataka iz specifičnog izvora nalazi u svome modulu. Moduli se s vremenom dodaju i nadograđuju, te tako povećavaju spektar funkcija koje LaZagne nudi. Podržano je preko 20 najpoznatijih web preglednika, chat aplikacije, poznati klijenti e-pošte, mnoštvo alata za sistem administratore. Detaljnije prikazuje tablica 1.

Vrste vjerodajnica koje pokriva mogu biti čitljive lozinke, pinovi, tajne, kriptografski sažetci, ticket-i, keychain-ovi, privatni ključevi, certifikati… Za preglednike je posebno važno da uz korisnička imena i lozike mogu sadržavati spremljene kreditne kartice, adrese i osobne informacije korisnika koje se također mogu izvući.

Podržani operacijski sustavi su Windows, Linux i MacOS, ali nisu svi moduli jednako podržani na svim sustavima zbog specifičnih razlika u načinu funkcioniranja sustava, ali i samih aplikacija. LaZagne nudi i naprednije funkcionalnosti poput lažnog predstavljanja korisnika (engl. User impersonation). U slučaju kada se alat pokrene s administratorskim ovlastima, kada imamo pristup procesu kojeg je pokrenuo drugi korisnik, ili kada možemo pristupati podacima na disku koji pripadaju drugome korisniku, tada LaZagne može iskoristiti pronađene vjerodajnice kako bi izvršio detekciju pod privilegijama drugog korisnika i tako pronašao njegove vjerodajnice.

Postoji opcija pretraživanja diska, odnosno nije potrebno izvršiti program na ciljanom računalu već je samo potrebno imati pristup datotečnom sustavu ciljanog računala. Na primjer pretraživanje eksternog diska ili pretraživanje datoteka kroz neki od programa za udaljeno spajanje.

LaZagne je u obliku modula ugrađen u post-exploitation framework Pupy gdje se koristi direktno iz memorije bez ostavljanja tragova na disku, što je jedna od naprednih funkcionalnosti zanimljiva u etičkom hakiranju [3].

LaZagne koristi tehnike pristupanja pohranjenim podacima na disku, navigiranjem kroz aplikacijski specifične datoteke, direktorije i konfiguracije gdje su vjerodajnice često spremljene. Podaci na disku uključuju i priručna i privremena spremišta. Na operacijskom sustavu Windows koristi Windows Registry za pronalazak relevantnih podataka. Također može koristiti i sistemske API-je kojima se pristupa programski na strukturiran način. Posebna metoda koju LaZagne uključuje je analiziranje memorije pokrenutog procesa iz koje može izvući vjerodajnice. Taj je pristup pogotovo praktičan kod aplikacija koje čuvaju vjerodajnice samo privremeno, dok su aktivno korištene.

Postupak stvaranja modula uključuje prvo ručne metode ekstrakcije vjerodajnica, za specifični izvor je potrebno otkriti na koji način upravlja vjerodajnicama te gdje ih pohranjuje. Zatim, na osnovu tih saznanja se postupak može programski automatizirati. Sam program se često oslanja na Python biblioteke koje već implementiraju funkcije za pretraživanje sistemske platforme, datotečnog sustava i sl.

Za ostvarivanje određenih funkcija LaZagne uključuje i druge poznate projekte. Koristi Mimikatz za ekstrakciju kriptografskih sažetaka, pinova i Kerberos ticket-a iz memorije Windows sustava [4]. Koristi Mimipy za izvlačenje korisničkih lozinki iz memorije procesa raznih aplikacija, poput Basic password-a iz memorije preglednika. Koristi CredDump za izvlačenje tajni iz Windows registry. Koristi Chainbreaker za macOS keychain koji služi za pohranu korisničkih lozinki, privatnih ključeva, certifikata, tajnih bilješki itd. [2]

Pokretanje alata se može izvršit preuzimanjem izvornog koda s git repozitorija projekta, pri čemu je potrebno imati instaliran Python3. Zatim je potrebno instalirati ovisne biblioteke iz requirements.txt i tada se alat može koristiti. Druga opcija je preuzimanje .exe datoteke koja se može samostalno pokretati [2].

Pokretanjem programa dobivamo pregled argumenata koje možemo koristiti za pozivanje pojedinih modula, kako prikazuje slika 1. Također za svaki modul se može dobiti popis argumenata i opcija koje su za njega specifične. Za neke module je potrebno predati odgovarajuće lozinke u slučaju dekriptiranja podataka. Ponuđene su opcije za formatiranje ispisa, odnosno rezultata ekstrakcije, kako bi se mogli strojno obrađivati.

Pokretanjem modula za web preglednike alat uspješno pronalazi spremljene vjerodajnice u novim verzijama često korištenih preglednika. Slika 2 prikazuje otkrivena korisnička imena i odgovarajuće lozinke koje su prijevremeno namještene za svrhe eksperimenta.

Slično se dobiva i pokretanjem modula za klijente e-pošte. Slika 3 prikazuje pronađene vjerodajnice za spajanje na poslužitelj e-pošte. Ukoliko se koristi dvofaktorska zaštita, alat će pronaći autentikacijski token.

LaZagne uspješno pronalazi SSH ključeve čak i kad su zaštićeni lozinkom, što prikazuje slika 4.

Pokretanje modula za operacijski sustav Windows pronalazi NTLM kriptografske sažetke za postojeće korisnike, što prikazuje slika 5. Sažetci nisu čitljive lozinke, ali mogu se koristiti u određenim napadima poput pass the hash ili možemo metodama pogađanja otkriti lozinku.

Kroz istraživanje se LaZagne pokazao kao korektan alat sa širokim spektrom mogućnosti koje mogu koristiti računalni forenzičari. Omogućuje ekstrakciju vjerodajnica iz mnogo izvora i podržava više operacijskih sustava. Koristan je u forenzičkim istragama nakon incidenata, ali i u proaktivnom provjeravanju razine sigurnosti. Alat je otvorenog koda, stoga ga svi mogu koristiti i proučiti kako radi, te doprinijeti projektu svojim idejama. Zbog toga, koliku god korist pružao forenzičarima i etičkim hakerima, toliku korist može pružiti i zlonamjernim napadačima koji će ga koristiti nakon kompromitacije nečijeg računala kako bi se brzo i lako domogli korisničkih vjerodajnica. Svakako bi trebalo razmotriti zaštitu od ovakvih alata, odnosno ne bi trebali pohranjivati vjerodajnice na nesiguran način. Pokretanje alata na osobnom računalu moglo bi Vas iznenaditi količinom pronađenih vjerodajnica, od kojih mnogo niste bili ni svjesni.

[1] Mitre attack OS Credential Dumping https://attack.mitre.org/techniques/T1003/
[2] Github repozitorij LaZagne https://github.com/AlessandroZ/LaZagne
[3] Github repozitorij Pupy https://github.com/n1nj4sec/pupy/
[4] HackTricks Stealing Windows Credentials https://book.hacktricks.xyz/windows-hardening/stealing-credentials