Извлекаем пароли из KeePass
Внедряется в память программы и запускает операцию экспорта. (в том числе и на PowerShell).
Чем же он примечателен?
▫️KeeThief не требует прав локального администратора, ему нужны только права к процессу KeePass.exe, который и атакуется.
▫️Скрипт KeeThief.ps1 полностью самодостаточен, никаких зависимостей, никакие файлы не падают на диск, и кроме того поддерживается PowerShell начиная со второй версии, т.е. работает от Windows 7 и дальше.
▫️Настройка secure desktop, никак не повлияет, так как не требуются кейлогеры.
▫️KeeThief особенно отличается от KeeFarce, тем что восстанавливает пароли и ключи из памяти вместо того чтобы вызывать различные внутренние методы для экспортирования содержимого БД.
▫️Естественно требуется чтобы база KeePass была разблокирована для получения паролей. Если же база пока не подключена, можно периодически запускать KeeThief.
https://github.com/GhostPack/KeeThief
Отправить комментарий