雯 發自 凹非寺量子位 報道 | 公眾號 QbitAI

工作電腦被偷的30分鐘后，公司內網就進人了。

不僅擁有活動目錄上的基本特權，還能在內部文件中來去自如！

可我那保護重重的Windows防火墻呢？

我那可以生成和存儲各種密鑰的TPM芯片呢？

黑客到底是怎么越過這些阻礙的？

繞過TPM

好，現在請出我們的受害者——

一臺Windows 10系統的聯想筆記本電腦。

使用的是微軟的BitLocker，通過微軟的可信平臺模塊（TPM）加密。

這時，要提取驅動器解密密鑰進而入侵內網，就需要從TPM入手：

不過這是一種結構高度復雜，且含有許多篡改檢測和保護的硬件。直接攻擊可能會花費大量時間。

因此，我們可以關注一下TPM周圍的依賴關系和內容。

比如……并沒有使用TPM 2.0標準的加密通信特性的BitLocker。

這意味著從TPM發出的數據都是以明文形式游走在SPI總線上的，包括Windows的解密密鑰。

如果能抓住那個密鑰，就能夠解密驅動器，獲得VPN客戶端配置的訪問權限，進而有訪問內部網絡的可能。

可現在問題又來了。

要抓取SPI總線上的數據，就要將引線或探針連接到TPM的引腳上。

而這個“引腳”只有0.25毫米寬，0.5毫米間隔，還是一個平放在芯片面上，難以用物理方式連接的偽·引腳。

那有沒有更大，更好連接的呢？

還真有：

這是與TPM共享一個SPI總線的CMOS芯片，它的引腳非常清晰分明。

好，Saleae邏輯分析儀，連接！

從預登陸功能的“后門”入侵

現在，探測儀已經連接，開始啟動電腦。

我們現在需要在數以百萬計的SPI字節中，找到一個正在被發送的BitLocker解密密鑰。

先用高級分析器（HLA）進行事務分析：

經過幾天的故障排除和比較之后，我們發現了TPM命令包的不同位掩碼的組合，以及用于尋找密鑰的不同正則表達式。

再用bitlocker-spi-toolkit解析這些請求，鑰匙就拿到了！

接下來讓我們用鑰匙解密固盤（SSD），看看里面到底有什么。

拔出固態硬盤，安裝在一個適配器上，然后插上：

在做了一個磁盤鏡像之后，我們使用Dislocker工具集來解密驅動器。

此外，我們還發現了正在使用的VPN客戶端: Palo Alto的全球保護（GP）。

GP有一項預登陸（Pre-logon）功能，會對端點（而不是用戶）進行身份驗證，并允許域腳本或其他任務在端點啟動后立即運行。

這樣，我們就可以使用粘滯鍵后門（Sticky Keys Backdoor），在不需要任何憑證的的前提下訪問VPN。

有了后門訪問之后，我們需要將解密后的Windows映像引導為虛擬機。

因此，先創建一個VMDK，將解密BitLocker分區和加密映像的起始扇區映射到適當的VM分區：再使用VMDK和粘滯鍵后門的WIndows鏡像，創建并啟動虛擬機，按下WIndows + U：

△全球保護狀態：已連接

然后就可以在域中運行基本的SMB命令了。

比如查詢如用戶、組、系統等網域控制器的各種類型的領域信息。

或者列出并查看中小企業內部共享的文件內容：

還可以通過訪問這個電腦帳戶來發動內部攻擊。

比如將一個文件寫入內部文件服務器，并將其讀回：

至此，我們已經獲得了內部網絡的訪問權限——

包括在活動目錄上的基本特權，以及對內部文件共享的訪問權限。

而以此開始做LNK攻擊或trojaned pdf等入侵，最終致使數據泄露也就有了可能。

Windows11更新強制要求設備有TPM2.0

當然，上述的所有過程都不是真的黑客攻擊。

而是美國的一家網絡安全公司Dolos Group面對客戶疑惑的回應：

你能用偷來的筆記本干什么？能進入我們的內網嗎？

因此，Dolos Group團隊就展示了如何使用一臺“被盜”的公司筆記本電腦，將幾個漏洞鏈接在一起，最后進入公司內網。

而讓人注意的是，Dolos Group團隊在入侵的最開始就提到：

BitLocker沒有使用 TPM 2.0標準的加密通信特性。

這不禁讓人想到了Windows11更新時強制要求設備有TPM2.0的措施：

所以，2.0版本對比1.X標準都增加了哪些功能？

簡單來說，TPM 2.0大幅增加了模塊內置加密算法的種類和安全性。

因此兼容的軟件和場景更多，生成的密碼更長更難破解。

結合上文對適用了舊版本TPM的電腦的入侵，微軟會將TPM2.0列入Windows 11的必須硬件配置列表中，似乎也就不難理解了。

不過，也有網友對此表示：

為了避免這種問題，你應該有一個必要的外部密碼來解鎖硬盤，而非TPM。

參考鏈接：
[1]https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network
[2]https://news.ycombinator.com/item?id=27986316

團隊網站：
https://dolosgroup.io/

— 完 —

量子位 QbitAI · 頭條號簽約

關注我們，第一時間獲知前沿科技動態

天都市報訊（記者羅欣通訊員朱淼）昨日在漢舉行的天喻教育生態合作伙伴大會上，武漢市教育局相關負責人透露，該市近4年來共投入約8億元為教育信息化“提檔升級”，在中小學，每7名學生就配有1臺電腦。

據介紹，目前武漢市所有中小學班級全面實現“寬帶網絡校校通”，完成數百間錄播教室建設，實現全市中小學5.8萬名專任教師計算機1:1配備。該市采用“政府政策支持，企業參與建設，教育購買服務”的辦法，先后與天喻教育、華中師范大學、人民教育出版社、中國移動等簽署戰略合作協議，不斷促進優質教育資源共建共享，著力打造體系完備、資源豐富的武漢教育資源云。這一經驗獲教育部推廣。

記者在武昌區三道街小學看到，一堂課40分鐘，老師只講10分鐘，剩下的30分鐘，全部由學生“做主”。學生們像開沙龍一樣，看課程相關資料，或看視頻或聽音樂；也可就疑難問題針鋒相對，互相討論；還可通過“畫魚”“畫蝴蝶”的方式來梳理思維。

“只有在信息化的環境下，才可能實現這樣的‘智慧課堂’。我們將課堂目標問題化、課堂資源激活化、課堂學習自主化、課堂任務合作化、課堂思維圖式化、課堂反饋可視化，提高孩子們的學習效率。”該校科研處主任汪賢榮說。

T之家 1 月 16 日消息，今天聯想小新宣布，小新 Pro 超能本 2023 電池全面升級，能量密度、充放電性能、使用壽命全面提升。

據介紹，小新 Pro 2023 升級了電芯材料，采用了 75Wh 新一代聚能電芯，同容量體積縮小 15%，帶來越級大電量和充裕空間，14 英寸小身板擁有 16 英寸級別大電量，在線視頻續航實測可使用 9 小時 59 分；同時升級到 140W C 口超級快充，30 分鐘回血至少約 66% 電量。

此外，電池壽命也有所提升，日常循環充電模擬四年（1000 次）容量保持率≥75%，開啟養護慢充，還能更耐用。

IT之家了解到，小新 Pro 2023 可選銳龍 7000HS 或 13 代酷睿處理器，顯卡最高可以達到 RTX 4050，搭載一塊 2.5K 120Hz 高刷屏。其中小新 Pro 16 獨顯版性能釋放高達約 115W，Pro 14 獨顯版性能釋放高達約 80W，支持獨顯直連、顯卡超頻、雙顯三模熱切。采用 3D 復合材質 5 熱管、大面積純銅散熱鰭片、高密度超薄渦輪風扇。搭載 2xUSB-A 3.2 Gen1、1x 雷電 4、1x 全功能 Type-C 1xHDMI、1xSD 卡讀卡器、1x3.5mm 音頻接口。

目前官方還未公布新品的上市時間，不過根據預熱節奏來看應該很快會跟大家見面。