Cara Mencuri Dan Mendekripsi Kata Sandi Tersimpan Di Chrome Dan Firefox Dari Jarak Jauh

Kata sandi yang disimpan di peramban web seperti Google Chrome dan Mozilla Firefox adalah tambang emas bagi peretas. Penyerang dengan akses backdoor ke komputer yang disusupi dapat dengan mudah membuang dan mendekripsi data yang disimpan di browser web. Jadi Anda akan berpikir 2 kali sebelum menekan "Simpan" saat Anda memasukkan kata sandi baru.

Dengan backdoor yang didirikan pada komputer target, peretas dapat melakukan berbagai serangan rahasia. Anda dapat menangkap setiap ketikan yang diketik di komputer, menangkap tangkapan layar dan mendengarkan audio melalui mikrofon. Dalam artikel ini kami akan berfokus pada bagaimana peretas dapat memperoleh kata sandi Anda yang disimpan di peramban web.

Setelah seorang hacker mengatur muatan mereka dan mengeksploitasi sistem yang mereka pilih dalam kasus kami sistem Windows 10, mereka dapat memulai serangan pasca eksploitasi untuk memburu kata sandi di Google Chrome dan Mozilla Firefox yang sering dianggap sebagai yang terbaik dan paling populer web browser yang tersedia. Microsoft Edge hanya menyumbang sekitar 4% browser di luar sana, jadi tidak ada gunanya merepotkan.

Dumping Google Chrome Passwords

Chrome menggunakan fungsi Windows yang disebut CryptProtectData untuk mengenkripsi sandi yang disimpan di komputer dengan kunci yang dihasilkan secara acak. Hanya pengguna dengan kredensial masuk yang sama dengan pengguna yang mengenkripsi data yang nantinya dapat mendekripsi kata sandi. Setiap kata sandi dienkripsi dengan kunci acak yang berbeda dan disimpan dalam database kecil di komputer. Basis data dapat ditemukan di direktori di bawah ini.

% LocalAppData% \ Google \ Chrome \ Data Pengguna \ Default \ Data Login

Selanjutnya kami akan menggunakan modul Metasploit yang dirancang untuk membuang kata sandi yang disimpan di browser Chrome. Untuk membuang kata sandi Chrome yang tersimpan pada perangkat target, gunakan modulenum_chrome seperti yang ditunjukkan pada perintah di bawah ini. Modul ini akan mengumpulkan data pengguna dari Google Chrome dan berusaha mendekripsi informasi sensitif.

run post / windows / gather / enum_chrome

Sandi browser Chrome yang didekripsi akan secara otomatis disimpan ke direktori /root/.msf4/loot/. File .txt yang baru dibuat yang berisi kata sandi juga akan secara otomatis dinamai menggunakan tanggal saat ini dan alamat IP pengguna target.

Untuk melihat kata sandi Chrome dalam file .txt, pertama-tama gunakan perintah latar belakang untuk menekan shell meterpreter, lalu gunakan perintah kucing seperti yang ditunjukkan pada gambar di bawah ini. Pastikan untuk menukar nama file dengan yang benar. Kolom "Dekripsi Data" akan menampilkan kata sandi dekripsi yang ditemukan di browser.

background
cat /root/.msf4/loot/2018..._default_..._chrome.decrypted_xxxxx.txt

Dumping Mozilla Firefox Passwords

Pengelola sandi bawaan Firefox menyimpan kredensial terenkripsi dalam file bernama "logins.json." Nama pengguna dan kata sandi yang disimpan dalam file loginins.json dienkripsi dengan kunci yang disimpan dalam file "key4.db".File-file loginins.json dan key4.db dapat ditemukan di direktori Windows di bawah ini. RandomString 8 karakter ditugaskan ke direktori secara otomatis oleh Firefox ketika pertama kali dibuka di komputer, dan string acak berbeda untuk setiap instalasi.

% LocalAppData% \ Mozilla \ Firefox \ Profiles \ randomString .Default \ login.json

Untuk membuang kata sandi Firefox yang tersimpan di komputer yang disusupi gunakan modul firefox_creds .

run post / multi / gather / firefox_creds

Gunakan perintah latar belakang untuk sementara memindahkan sesi meterpreter ke latar belakang, dan perintahcd untuk berubah menjadi direktori loot. Kemudian, buat direktori baru bernama "Profil" menggunakan perintah mkdir.

Melihat kembali data yang dibuang, Anda mungkin akan melihat semua file secara otomatis disimpan sebagai filetype ".bin". File-file ini harus dipindahkan secara manual dan diganti namanya agar sesuai dengan nama aslinya yang disorot di sisi kiri tangkapan layar. Sebagai contoh, file "cert_501854.bin" perlu dipindahkan ke direktori Profil dan diganti namanya menjadi "cert9.db." Perintah mv di bawah ini dapat digunakan untuk mengganti nama file.

mv certfilehere.bin Profiles / cert9.db

Ini akan perlu terjadi dengan file yang tersisa di direktori loot.

Dengan semua yang diambil dari perawatan, mengkloning firefox_decrypt repositori GitHub yang dapat digunakan untuk mendekripsi password yang disimpan pada file logins.json. Gunakan perintah di bawah ini untuk mengkloning firefox_decrypt.

git clone https://github.com/Unode/firefox_decrypt.git

Perintah di bawah ini dapat digunakan untuk mendekripsi password Firefox yang disimpan dalam file loginins.json. Skrip akan meminta "Kata Sandi Utama," tetapi ini dapat dilewati dengan membiarkan bidang kosong dan menekan enter.

python firefox_decrypt / firefox_decrypt.py /root/.msf4/loot/

Cara Melindungi Terhadap Kata Sandi Dumping

Menyimpan data sensitif di pengelola kata sandi browser pada umumnya merupakan ide yang buruk. Sayangnya tidak ada banyak yang harus dilakukan dalam mencegah serangan penyisipan kata sandi tersebut selain hanya memastikan Anda tidak pernah menyimpan kredensial masuk di browser Anda dan menghapus yang sudah ada di sana.

Anda dapat menggunakan pengelola kata sandi seperti LastPass, tetapi jika peretas telah mengeksploitasi sistem Anda dengan backdoor, mereka juga dapat menggunakan keylogger untuk mendapatkan kata sandi utama Anda yang memegang kunci untuk semuanya. Bahkan jika Anda tidak menyimpan kata sandi di mana pun di komputer Anda, keylogger pasti akan menangkapnya ketika Anda mengetiknya secara manual ke setiap situs yang Anda kunjungi.

Hanya menahan diri dari menyimpan begitu banyak data dalam satu lokasi yang tidak aman dapat membantu mencegah skala kerusakan yang ditimbulkan oleh penyerang, tetapi tidak ada cara untuk benar-benar menjaga kata sandi Anda tetap aman kecuali jika Anda bertujuan untuk mencegah peretas memasang backdoor di komputer Anda.