工作電腦被偷的30分鐘后,公司內網就進人了。
不僅擁有活動目錄上的基本特權,還能在內部文件中來去自如!
可我那保護重重的Windows防火墻呢?
我那可以生成和存儲各種密鑰的TPM芯片呢?
黑客到底是怎么越過這些阻礙的?
好,現在請出我們的受害者——
一臺Windows 10系統的聯想筆記本電腦。
使用的是微軟的BitLocker,通過微軟的可信平臺模塊(TPM)加密。
這時,要提取驅動器解密密鑰進而入侵內網,就需要從TPM入手:
不過這是一種結構高度復雜,且含有許多篡改檢測和保護的硬件。直接攻擊可能會花費大量時間。
因此,我們可以關注一下TPM周圍的依賴關系和內容。
比如……并沒有使用TPM 2.0標準的加密通信特性的BitLocker。
這意味著從TPM發出的數據都是以明文形式游走在SPI總線上的,包括Windows的解密密鑰。
如果能抓住那個密鑰,就能夠解密驅動器,獲得VPN客戶端配置的訪問權限,進而有訪問內部網絡的可能。
可現在問題又來了。
要抓取SPI總線上的數據,就要將引線或探針連接到TPM的引腳上。
而這個“引腳”只有0.25毫米寬,0.5毫米間隔,還是一個平放在芯片面上,難以用物理方式連接的偽·引腳。
那有沒有更大,更好連接的呢?
還真有:
這是與TPM共享一個SPI總線的CMOS芯片,它的引腳非常清晰分明。
好,Saleae邏輯分析儀,連接!
現在,探測儀已經連接,開始啟動電腦。
我們現在需要在數以百萬計的SPI字節中,找到一個正在被發送的BitLocker解密密鑰。
先用高級分析器(HLA)進行事務分析:
經過幾天的故障排除和比較之后,我們發現了TPM命令包的不同位掩碼的組合,以及用于尋找密鑰的不同正則表達式。
再用bitlocker-spi-toolkit解析這些請求,鑰匙就拿到了!
接下來讓我們用鑰匙解密固盤(SSD),看看里面到底有什么。
拔出固態硬盤,安裝在一個適配器上,然后插上:
在做了一個磁盤鏡像之后,我們使用Dislocker工具集來解密驅動器。
此外,我們還發現了正在使用的VPN客戶端: Palo Alto的全球保護(GP)。
GP有一項預登陸(Pre-logon)功能,會對端點(而不是用戶)進行身份驗證,并允許域腳本或其他任務在端點啟動后立即運行。
這樣,我們就可以使用粘滯鍵后門(Sticky Keys Backdoor),在不需要任何憑證的的前提下訪問VPN。
有了后門訪問之后,我們需要將解密后的Windows映像引導為虛擬機。
因此,先創建一個VMDK,將解密BitLocker分區和加密映像的起始扇區映射到適當的VM分區:再使用VMDK和粘滯鍵后門的WIndows鏡像,創建并啟動虛擬機,按下WIndows + U:
然后就可以在域中運行基本的SMB命令了。
比如查詢如用戶、組、系統等網域控制器的各種類型的領域信息。
或者列出并查看中小企業內部共享的文件內容:
還可以通過訪問這個電腦帳戶來發動內部攻擊。
比如將一個文件寫入內部文件服務器,并將其讀回:
至此,我們已經獲得了內部網絡的訪問權限——
包括在活動目錄上的基本特權,以及對內部文件共享的訪問權限。
而以此開始做LNK攻擊或trojaned pdf等入侵,最終致使數據泄露也就有了可能。
當然,上述的所有過程都不是真的黑客攻擊。
而是美國的一家網絡安全公司Dolos Group面對客戶疑惑的回應:
你能用偷來的筆記本干什么?能進入我們的內網嗎?
因此,Dolos Group團隊就展示了如何使用一臺“被盜”的公司筆記本電腦,將幾個漏洞鏈接在一起,最后進入公司內網。
而讓人注意的是,Dolos Group團隊在入侵的最開始就提到:
BitLocker沒有使用 TPM 2.0標準的加密通信特性。
這不禁讓人想到了Windows11更新時強制要求設備有TPM2.0的措施:
所以,2.0版本對比1.X標準都增加了哪些功能?
簡單來說,TPM 2.0大幅增加了模塊內置加密算法的種類和安全性。
因此兼容的軟件和場景更多,生成的密碼更長更難破解。
結合上文對適用了舊版本TPM的電腦的入侵,微軟會將TPM2.0列入Windows 11的必須硬件配置列表中,似乎也就不難理解了。
不過,也有網友對此表示:
為了避免這種問題,你應該有一個必要的外部密碼來解鎖硬盤,而非TPM。
參考鏈接:
[1]https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network
[2]https://news.ycombinator.com/item?id=27986316
團隊網站:
https://dolosgroup.io/
— 完 —
量子位 QbitAI · 頭條號簽約
關注我們,第一時間獲知前沿科技動態
①這類現象通常產生于外接顯示器,顯示器信號、顯卡內存線接觸不良等情況,可以關閉顯示器、主機的電源之后,再嘗試重新插拔一下顯示器兩頭的連接線。
②再次通電之后,繼續檢測,如果還是沒有解決問題,可以調試顯示屏上的按鈕(可能是誤操作導致的異常)。
③嘗試按AUTO鍵自動調整。或者使用切換鍵不停地切換,直至屏幕上出現HDMI2提示時停止(不同的顯示器調整菜單是不一樣的)。
④并嘗試使用Fn+F4快捷鍵。
⑤直至切換到復制顯示模式。
最后,還是不行,那就是顯示器、接線、插頭、插座的問題了。
參考資料:《怎么處理顯示器:檢測信號線?》http://jingyan.baidu.com/article/cbf0e5009e3a2d2eaa289388.html
建議您可以更換顯示器連接您的主機看看是否可以正常顯示:
一、更換顯示顯示正常,那么很可能是您顯示器方面的問題導致的了,建議您可以在顯示器的菜單中尋找恢復出廠設置的選項將顯示器恢復到出廠看看是否可以解決,如果恢復出廠設置問題依舊,建議您可以您可以撥打我們的技術支持電話:800-810-3888(固定電話撥打)或者400-610-3888,或者通過www.hp.com.cn/chat進入網上技術支持聊天室聯系我們幫您報修。
二、更換顯示器也無法正常顯示建議您可以按下面的方法操作解決問題:
1、建議您可以嘗試為機器重新插拔下連接到主板上的連接線看看是否是由于連接線松動的問題導致的了。
2、重新拔插您機器的顯卡設備;
3、如果進行上述操作后機器的問題依舊,建議您可以嘗試清下機器的COMS看看是否能夠解決您遇到的問題,清COMS請您嘗試下列操作:
溫馨提醒您:請您在操作之前先把自身的靜電放凈后再打開機箱操作。打開機箱,撕下封條不會影響機器的保修,請您放心。
常見的清COMS的方法如下:
黃色按鈕清CMOS的正確方式為:
首先需要關機斷電(拔下外接電源線后,多按幾次電源開關,耗盡剩余的電量),打開機箱后,找到主板上的黃色按鈕,按住此按鈕15秒后松開,操作期間是不需要加電的。
3針跳線清CMOS的正確方式為:
1).首先需要關機斷電(拔下外接電源線后,多按幾次電源開關,耗盡剩余的電量),打開機箱后,在(硬盤SATA接口旁邊)可以找到3針跳線,旁邊有CMOS字樣。
2).如果當前跳線帽連接的是1-2針,請您拔下跳線帽后,接到2-3針(如果當前連接為2-3針,拔下后連接到1-2針),等待15秒后,再放回原來的位置,操作期間是不需要加電的。
溫馨提醒您:請您在操作之前先把自身的靜電放凈后再打開機箱操作。打開機箱,撕下封條不會影響機器的保修,請您放心。
4、如果進行上述操作后機器的問題依舊,那么很可能是系統方面出現問題導致的了,建議您可以保存重要的文件后重新安裝下操作系統看看是否能夠解決您遇到的問題。
若您還有任何問題,請不要猶豫,隨時,我們一定會竭盡全力協助您!
但你如果是打算打逆戰僵尸獵場,那就需要游戲配置高端性能了,最好是i5四核,8g內存,gtx1050以上獨顯配置,否則幀率容易經常性很低。