viernes, 29 de marzo de 2019

Detección de Lazagne... easy baby.

Estimados amigos de Inseguros !!!

No es nada nuevo si hablamos de la herramienta Lazagne. Una conocida herramienta "juanckers" que ejecutada en el equipo de nuestra víctima, vuelca las claves guardadas que tiene de distintos sitios tan curiosos como los que indica en su repositorio: navegadores, wifis, vnc, putty, etc etc...


La verdad que la detectan todos los antivirus, o la gran mayoría, pero en kiosko, puestos de mediamarkt y cosas así, es muy efectiva, sobre todo con Pendrives Rubber .. etc.

No voy a explicar más sobre esto, pero sí que vamos a intentar ver una manera sencilla de detectar su ejecución.

Para ello nos vamos a nuestro Windows a defender, habilitamos las opciones de auditoría avanzadas, y en concreto, la auditoría de acceso a ficheros tanto correcta como incorrecta.


Luego nos vamos al fichero sobre el que queremos aplicar la auditoría, y elegimos: C:\Users\kinomakino\AppData\Local\Google\Chrome\User Data\Default\Login Data o cualquiera que sea tu usuario. 

Con esto y un bizcocho, tendremos un log muy simpático cada vez que alguien o algo acceda al susodicho recurso. Por lo que si en nuestro gestor de logs levantamos una alerta para cuando el proceso que lee el fichero sea distinto a Chrome... tenemos la detección hecha.



Simple, sencillo, eficaz !!

Y recuerda... vamos por los malos... MUA HAHAHAHA

Gracias por leerme.