Механизм Windows DPAPI был введен уже достаточно давно и зарекомендовал себя как надежное средство по хранению пользовательских данных в зашифрованном виде. Этот механизм используется большим количеством программ для хранения паролей, ключевой информации и иного рода «секретиков». Например, его используют Google Chrome, Dropbox, RSA SecurIВ, а также встроенные в Windows механизмы (EFS, RSA, система хранения закрытых ключей от клиентских сертификатов) и т.д.

Целью исследования являлась оценка возможности по дешифровке пользовательских данных, зашифрованных средствами DPAPI, необходимая на этапе пост-эксплуатации при проведении компаниb RedTeam. За основу работы и доклада были взяты одноименное исследование PassScape и python-фреймворк DPAPIck, разработанный для офлайн-анализа ключевого материала.
    
Во вступительной части доклада расскажем про работу механизма DPAPI, ключи-шифрования, блоки данных (Encrypted-Blob), места их хранения в различных ОС, а также коснемся случая, когда ключевой материал и зашифрованные данные хранятся в домене Active Directory (Credential Roaming). Затем покажем способы расшифровки ключевого материала и пользовательских данных с помощью фреймворка DPAPIck. Объясним, каким образом с помощью фреймворка можно расшифровать данные, не зная паролей пользователя, а также расскажем, какие отличия Windows 10 внесла в механизм шифровании DPAPI-ключей.

Для примера продемонстрируем, как в офлайн-режиме можно расшифровать пароли и куки в Google Chrome, «угнать» у пользователя Dropbox, а также расшифровать клиентские сертификаты для авторизации на почте, в VPN-сервисе и т.д.

В ходе доклада представим наши доработки к DPAPIck, позволяющие производить расшифровку без паролей пользователя, а также расшифровку данных с Windows 10.