Credentials Recovery: The LaZagne Project

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Credentials Recovery: The LaZagne Project

Messaggio da crazy.cat »

Uno scopri password che sembra molto interessante
https://github.com/AlessandroZ/LaZagne/releases/
se qualcuno lo vuole provare aspetto poi un riscontro.

Disattivate l'antivirus, è solo un tool per scoprire le password e molti lo bloccano e lo cancellano
https://virustotalcloud.appspot.com/nui ... /detection
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Credentials Recovery: The LaZagne Project

Messaggio da System » gio giu 13, 2019 6:45 pm


Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

Ho cercato di provarlo (che giro di parole :( ), ma senza esito.

Per curiosità, in principio ho lasciato attive le mie "barriere" ed ecco i risultati, in ordine di apparizione:

(1)
Immagine

(2)
Immagine

Ho riavviato la macchina, ri-scaricato il programma che nel frattempo era stato eliminato da ogni posizione del mio computer (intendo: sia dalla cartella originaria di download/archivio sia da un'altra directory di appoggio da cui lo avevo effettivamente lanciato).
Nulla da fare.
Continua a comparire la prima scherma di Comodo Firewall 12.0.0.6818, sebbene disattivata ogni protezione.
Uscito definitamente da Comodo Firewall e lanciato il programma, per qualche secondo, compare una finestra terminale, tipo prompt del DOS, però non accade più nulla.
A questo punto probabilmente sbaglio qualcosa io ... non saprei.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da crazy.cat »

Matilda12 ha scritto: sab giu 15, 2019 9:37 am A questo punto probabilmente sbaglio qualcosa io ... non saprei.
Lo devi avviare dal prompr dei comandi come amministratore.

Volevo recensire qualcosa del genere ma il problema principale è che tutti i tool che provo vengono segati via in un attimo.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

crazy.cat ha scritto: sab giu 15, 2019 9:44 am
Matilda12 ha scritto: sab giu 15, 2019 9:37 am A questo punto probabilmente sbaglio qualcosa io ... non saprei.
Lo devi avviare dal prompr dei comandi come amministratore.
Ti sei imbattuto in un "assistente" farlocco, mi dispiace. :imbarazzo: :D :acch

Ho riprovato e ripercorso tutta la trafila, soltanto che non avevo chiuso pure Kaspersky Anti-Ransomware Tool for Business e, quindi, puntuale come le disgrazie, appena lanciato dal prompt lazagne.exe eccoti arrivare:

Immagine

Chiuso Kaspersky ho riprovato sia via Windows PowerShell (Amministratore) sia con il prompt da amministratore: accesso negato. Seguono immagini.

(1) - Windows PowerShell (Amministratore)
Immagine

(2) - Prompt come amministratore
Immagine
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da crazy.cat »

Matilda12 ha scritto: sab giu 15, 2019 10:34 am Ti sei imbattuto in un "assistente" farlocco, mi dispiace. :imbarazzo: :D :acch
Hai troppe protezioni attive.
Per funzionare funziona, adesso non ho passwrod memorizzate perché ho appena formattato.
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

crazy.cat ha scritto: sab giu 15, 2019 12:39 pm Hai troppe protezioni attive.
Eh, mi sa! :D

Questo, per un verso e vista la mia incompetenza, può vuol dire che basta relativamente poco per non far partire il programma.
Se lo scopo d'uso è quello di scovare le password sulle macchine altrui o, più correttamente, di aiutarci a ritrovare le nostre chiavi d'accesso dimenticate ... beh, l'impresa può diventare ardua per chi si dota di protezioni varie.
Ok, io sono un (po') paranoico, ma quell'accesso negato non me lo spiego, avendo spento tutto quello che potevo spegnere.
Ammetto: in passato, ho notato che, nonostante la disattivazione dei moduli dei vari programmi di protezione installati, la presenza di qualche servizio residente impedisce sotterraneamente l'esecuzione di qualsivoglia programma genericamente sospetto.

Buon pranzo e buon fine settimana, crazy.cat. ;)
:brindisi
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

Ho forzato un po' la mano e ottenuto la schermata che segue.
Immagino indichi tutte le password di cui va a caccia: e-mail, chat, browser, Windows, database, etc. etc.

Immagine
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

Ho fatto qualche ulteriore tentativo e ottenuto alcuni risultati, prendendo le relative screenshot.
Spero di poterti riferire a breve.
Il programma che sotterraneamente impediva l'esecuzione di LaZagne era Comodo Firewall con i suoi moduli: non basta disattivare i vari scudi di Comodo o, addirittura, chiuderlo. Occorre prima lanciare LaZagne, far quindi scattare la protezione di Comodo (quelle di cui ho pubblicato l'immagine sopra), infine andare nella sezione "Sblocca Applicazioni" e sbloccare LaZagne per tutti i moduli.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

Pubblico allora alcune screenshot, quale esito dell'esecuzione da Windows PowerShell (Admin) di .\lazagne.exe (a differenza del finestra terminale del prompt dei comandi come amministratore, PowerShell vuole ".\" prima del nome dell'eseguibile).

(a) .\lazagne.exe browsers
In questo caso non trova nulla, pur avendo un browser, la suite SeaMonkey, con diverse password immagazzinate.
Immagine


(b) .\lazagne.exe mails
Anche in questa occasione, non scova nulla all'interno della suite SeaMonkey, da me impiegata per gestire diverse caselle di posta elettronica.
Immagine


(c) .\lazagne.exe wifi
La connessione wifi non ha segreti per LaZagne: trova tutto, anche l'SSID.
Immagine


(d) .\lazagne.exe wifi
Non viene decriptata la password principale dell'utente, bensì scovate tutte le domande di sicurezza e relative risposte impostate all'atto dell'installazione (fresh) di Windows 10. Le risposte non sono facilmente leggibili, tuttavia ci sono e ci sono tutte.
Credo dipenda dai protocolli di autenticazione (LSA piuttosto che NTLM, per la password di accesso principale).
Immagine

Spero di essere stato in qualche modo utile e di non aver diffuso inopportunamente qualche (mia) informazione personale?! :bam
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da crazy.cat »

In questo caso non trova nulla, pur avendo un browser, la suite SeaMonkey, con diverse password immagazzinate.
Non è tra quelli supportati, vedi verso il fondo della pagina
https://github.com/AlessandroZ/LaZagne
(l'autore del programma è italiano)
Spero di essere stato in qualche modo utile
Sì, grazie. Prendo nota dei tentativi che hai fatto e se trovo altri programmi come questo ci faccio l'articolo.
e di non aver diffuso inopportunamente qualche (mia) informazione personale?!
Direi che hai coperto tutto quanto.
Matilda12 ha scritto: sab giu 15, 2019 11:46 pm PowerShell vuole ".\" prima del nome dell'eseguibile).
Mi segno anche questo, non avevo mai provato a lanciare un eseguibile da powershell, al massimo degli script che vogliono anche loro il .\
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Credentials Recovery: The LaZagne Project

Messaggio da Matilda12 »

E' stato davvero un piacere! :)

Ho dato uno sguardo al mio archivio dei programmi e le cartelle dove tenevo i software per scoprire le password erano abbastanza "impolverate". :ninja

La particolarità, importante, del programma che hai intercettato tu è quella di essere un rivelatore di massa, che opera dentro Windows e può andare a sostituire tanti piccoli tool mirati (penso ad esempio a Password Security Scanner e WirelessKeyView di NirSoft).

Soltanto Cain & Abel era così versatile e aveva una capacità rivelatrice davvero considerevole; tuttavia il suo sviluppo sembra ormai fermo da anni (alla versione 4.9.56).

Buona domenica! :brindisi
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Credentials Recovery: The LaZagne Project

Messaggio da System » dom giu 16, 2019 8:53 am


Rispondi