zvilsec

Kata sandi yang disimpan di browser web seperti Google Chrome dan Mozilla Firefox layaknya tambang emas untuk peretas.  Penyerang dengan akses backdoor ke komputer target dapat dengan mudah membuang dan mendekripsi data yang disimpan di browser web.  Jadi, kamu harus berpikir dua kali sebelum menekan "save" saat berikutnya kamu memasukkan kata sandi baru.

Dengan backdoor yang diinstall pada komputer target, peretas dapat melakukan berbagai serangan rahasia.  Melakukan keylogger, menangkap tangkapan layar, dan mendengarkan audio melalui mikrofon.  Pada artikel ini, kita akan fokus pada bagaimana peretas dapat memperoleh kata sandimu yang disimpan di peramban web.

Setelah seorang hacker mempersiapkan alat mereka dan mengeksploitasi sistem yang mereka pilih, dalam kasus ini, sistem Windows 10, mereka dapat memulai serangan pasca eksploitasi untuk memburu kata sandi di Google Chrome dan Mozilla Firefox, yang sering dianggap sebagai  browser web terbaik dan paling populer yang tersedia.

Memanen Kata Sandi di Google Chrome

Chrome menggunakan fungsi Windows yang disebut CryptProtectData untuk mengenkripsi kata sandi yang disimpan di komputer dengan kunci yang dibuat secara acak.  Hanya pengguna dengan kredensial masuk yang sama dengan pengguna yang mengenkripsi data yang kemudian dapat mendekripsi kata sandi.  Setiap kata sandi dienkripsi dengan kunci acak yang berbeda dan disimpan dalam database kecil di komputer.  Basis data dapat ditemukan di direktori di bawah ini.

%LocalAppData%\Google\Chrome\User Data\Default\Login Data

Selanjutnya, kita akan menggunakan modul Metasploit yang dirancang untuk memanen kata sandi yang disimpan di browser Chrome.  Untuk memanen kata sandi Chrome yang tersimpan di perangkat target, gunakan modul enum_chrome seperti yang ditunjukkan pada perintah di bawah ini.  Modul ini akan mengumpulkan data pengguna dari Google Chrome dan berupaya mendekripsi informasi.

run post/multi/gather/firefox_creds

Kata sandi di browser Chrome yang didekripsi akan secara otomatis disimpan ke direktori /root/.msf4/loot/.  File.txt yang baru dibuat yang berisi kata sandi juga akan secara otomatis dinamai menggunakan tanggal saat ini dan alamat IP pengguna target.

Untuk melihat kata sandi Chrome dalam file .txt, pertama, gunakan perintah background untuk meminimize shell meterpreter, kemudian gunakan perintah cat seperti yang ditunjukkan pada tangkapan layar di bawah ini.  Pastikan untuk menukar nama file dengan yang benar.  Kolom "Decrypted Data" akan menampilkan kata sandi yang didekripsi yang ditemukan di browser.

background
cat /root/.msf4/loot/2018..._default_..._chrome.decrypted_xxxxx.txt

Memanen Kata Sandi Mozilla Firefox

Pengelola kata sandi bawaan Firefox menyimpan kredensial terenkripsi dalam file yang disebut "logins.json."  Nama pengguna dan kata sandi yang disimpan dalam file logins.json dienkripsi dengan kunci yang disimpan dalam file "key4.db".  File logins.json dan key4.db dapat ditemukan di direktori Windows di bawah ini.  RandomString 8-karakter ditugaskan ke direktori secara otomatis oleh Firefox saat pertama kali dibuka di komputer, dan string acak berbeda untuk setiap instalasi.

%LocalAppData%\Mozilla\Firefox\Profiles\randomString.Default\logins.json

Untuk memanen kata sandi Firefox yang tersimpan di komputer yang, gunakan modul firefox_creds.

run post/multi/gather/firefox_creds

Gunakan perintah background untuk sementara memindahkan sesi meterpreter ke latar belakang, dan perintah cd untuk mengubah ke direktori loot.  Kemudian, buat direktori baru yang disebut "Profil" menggunakan perintah mkdir.

Melihat kembali data yang dipanen, kamu mungkin akan melihat semua file secara otomatis disimpan sebagai tipe file ".bin".  File-file ini perlu dipindahkan secara manual dan diganti namanya agar sesuai dengan nama aslinya yang disorot di sebelah kiri tangkapan layar.  Sebagai contoh, file "cert_501854.bin" perlu dipindahkan ke direktori Profil dan diubah namanya menjadi "cert9.db."  Perintah mv di bawah ini dapat digunakan untuk mengganti nama file.

mv certfilehere.bin Profiles/cert9.db

Ini dapat dilakukan jika masih terdapat file yang tersisa di direktori loot.

Selanjutnya, klon repositori GitHub firefox_decrypt yang dapat digunakan untuk mendekripsi kata sandi yang disimpan pada file logins.json.  Gunakan perintah di bawah ini untuk mengkloning firefox_decrypt.

git clone https://github.com/Unode/firefox_decrypt.git

Perintah di bawah ini dapat digunakan untuk mendekripsi kata sandi Firefox yang disimpan dalam file logins.json.  Skrip akan meminta "Kata Sandi Utama," tetapi ini dapat dilewati dengan membiarkan bidang itu kosong dan menekan enter.

python firefox_decrypt/firefox_decrypt.py /root/.msf4/loot

Cara Melindungi Diri Terhadap Teknik Ini

Menyimpan data sensitif di pengelola kata sandi browser umumnya adalah ide yang buruk.  Sayangnya, tidak banyak yang bisa dilakukan dalam hal mencegah serangan dumping kata sandi selain memastikan kamu tidak pernah menyimpan kredensial login di browser dan menghapus yang sudah ada.

Kamu bisa menggunakan pengelola kata sandi seperti LastPass, tetapi jika seorang peretas telah mengeksploitasi sistem kamu dengan backdoor, mereka juga bisa menggunakan keylogger untuk mendapatkan kata sandi utama kamu yang memegang kunci untuk segalanya.  Bahkan jika kamu tidak menyimpan kata sandi di mana pun di komputer, keylogger pasti akan menangkapnya ketika kamu mengetikkannya secara manual ke setiap situs yang kamu kunjungi.

Cukup menjaga diri untuk tidak menyimpan begitu banyak data di satu lokasi yang tidak aman dapat membantu mencegah skala kerusakan yang ditimbulkan oleh penyerang, tetapi tidak ada cara untuk benar-benar menjaga kata sandi kamu aman kecuali jika kamu sudah bisa bertahan dari serangan backdoor.