網(wǎng)絡(luò)安全公司專門(mén)通過(guò)提供威脅檢測(cè)、事件響應(yīng)和風(fēng)險(xiǎn)管理等服務(wù)來(lái)保護(hù)組織免受數(shù)字威脅，確保敏感數(shù)據(jù)和系統(tǒng)免受網(wǎng)絡(luò)攻擊的安全。

他們部署了一系列技術(shù)和策略，包括防火墻、加密和入侵檢測(cè)系統(tǒng)，以保護(hù)網(wǎng)絡(luò)和應(yīng)用程序免受未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)泄露和其他網(wǎng)絡(luò)風(fēng)險(xiǎn)。

這些公司通常提供咨詢和合規(guī)服務(wù)，幫助組織滿足監(jiān)管要求并實(shí)施最佳實(shí)踐，以在日益復(fù)雜的威脅形勢(shì)中保持強(qiáng)大的安全態(tài)勢(shì)。

什么是網(wǎng)絡(luò)安全？

網(wǎng)絡(luò)安全涉及保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)免受數(shù)字攻擊、未經(jīng)授權(quán)的訪問(wèn)和損壞。它涵蓋旨在保護(hù)敏感信息并確保數(shù)據(jù)完整性和機(jī)密性的實(shí)踐和技術(shù)。

有效的網(wǎng)絡(luò)安全包括防火墻、加密、入侵檢測(cè)系統(tǒng)和定期軟件更新等一系列措施，以防御可能危害數(shù)字資產(chǎn)的惡意軟件、網(wǎng)絡(luò)釣魚(yú)和勒索軟件等威脅。

隨著網(wǎng)絡(luò)威脅的不斷發(fā)展，網(wǎng)絡(luò)安全還涉及持續(xù)的風(fēng)險(xiǎn)評(píng)估、用戶教育和事件響應(yīng)策略，以適應(yīng)新的漏洞并確保對(duì)潛在網(wǎng)絡(luò)攻擊提供強(qiáng)有力的保護(hù)。

網(wǎng)絡(luò)安全有哪 5 種類型？

網(wǎng)絡(luò)安全有多種類型，它們都旨在保護(hù)信息和技術(shù)的不同方面。以下是五種常見(jiàn)的網(wǎng)絡(luò)安全類型：

• 網(wǎng)絡(luò)安全：這種網(wǎng)絡(luò)安全重點(diǎn)關(guān)注保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)、網(wǎng)絡(luò)攻擊和其他網(wǎng)絡(luò)級(jí)威脅。
• 應(yīng)用程序安全：這種網(wǎng)絡(luò)安全專注于保護(hù)軟件應(yīng)用程序免受網(wǎng)絡(luò)威脅。
• 信息安全：這種網(wǎng)絡(luò)安全保護(hù)敏感信息免遭未經(jīng)授權(quán)的訪問(wèn)、披露、修改或破壞。
• 運(yùn)營(yíng)安全：這種網(wǎng)絡(luò)安全側(cè)重于保護(hù)組織的日常運(yùn)營(yíng)
• 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性：這種網(wǎng)絡(luò)安全重點(diǎn)確保組織能夠從網(wǎng)絡(luò)安全事件或其他災(zāi)難中快速有效地恢復(fù)。

全球50家最佳網(wǎng)絡(luò)安全公司

在不斷發(fā)展的網(wǎng)絡(luò)安全領(lǐng)域，這 50 家公司以其創(chuàng)新的解決方案、強(qiáng)大的安全措施以及保護(hù)組織免受網(wǎng)絡(luò)威脅的承諾脫穎而出。每家公司都擁有獨(dú)特的優(yōu)勢(shì)和專業(yè)知識(shí)，確保為各種數(shù)字環(huán)境提供全面保護(hù)。

1. Palo Alto Networks：高級(jí)威脅預(yù)防和人工智能驅(qū)動(dòng)的分析。
2. Checkpoint 軟件：跨網(wǎng)絡(luò)、云和移動(dòng)的全面安全保護(hù)。
3. Akamai 網(wǎng)絡(luò)安全：內(nèi)容交付和云安全領(lǐng)域的領(lǐng)導(dǎo)者。
4. 卡巴斯基：以其防病毒和端點(diǎn)保護(hù)解決方案而聞名。
5. Trellix：集成威脅情報(bào)和事件響應(yīng)。
6. Perimeter 81：通過(guò)零信任架構(gòu)簡(jiǎn)化網(wǎng)絡(luò)安全。
7. CrowdStrike：端點(diǎn)保護(hù)和威脅情報(bào)。
8. McAfee：為消費(fèi)者和企業(yè)提供全面的網(wǎng)絡(luò)安全解決方案。
9. CyberArk：身份安全和特權(quán)訪問(wèn)管理領(lǐng)域的領(lǐng)導(dǎo)者。
10. Imperva：跨多云環(huán)境的數(shù)據(jù)和應(yīng)用程序安全。
11. Proofpoint：保護(hù)組織免受高級(jí)電子郵件威脅。
12. F5 Networks：應(yīng)用交付和多云安全解決方案。
13. Rapid7：提供漏洞管理和威脅檢測(cè)。
14. ESET：強(qiáng)大的防病毒和端點(diǎn)安全解決方案。
15. Nord Security：以其 VPN 和安全互聯(lián)網(wǎng)訪問(wèn)而聞名。
16. Cloudflare：DDoS 保護(hù)和安全內(nèi)容傳送。
17. SentinelOne：自主端點(diǎn)保護(hù)和 EDR 解決方案。
18. Carbon Black：云原生端點(diǎn)安全和威脅搜尋。
19. Trustwave：管理安全服務(wù)和威脅檢測(cè)。
20. Forcepoint：基于行為的安全和數(shù)據(jù)保護(hù)。
21. RSA 安全：全面的身份和訪問(wèn)管理解決方案。
22. Fortinet：統(tǒng)一威脅管理和下一代防火墻解決方案。
23. Varonis：數(shù)據(jù)安全和內(nèi)部威脅檢測(cè)。
24. Splunk：安全信息和事件管理 (SIEM)。
25. Bitdefender：先進(jìn)的威脅情報(bào)和防病毒解決方案。
26. 思科安全：網(wǎng)絡(luò)安全、防火墻和威脅情報(bào)。
27. Zscaler：云安全和安全互聯(lián)網(wǎng)訪問(wèn)。
28. IBM Security：全面的網(wǎng)絡(luò)安全解決方案和服務(wù)。
29. KnowBe4：安全意識(shí)培訓(xùn)和網(wǎng)絡(luò)釣魚(yú)模擬。
30. Offensive 安全：滲透測(cè)試和網(wǎng)絡(luò)安全培訓(xùn)。
31. Gen Digital：消費(fèi)者安全解決方案，包括 Norton 和 Avira。
32. Microsoft Security：針對(duì) Microsoft 產(chǎn)品的集成安全解決方案。
33. Guardicore：微分段和數(shù)據(jù)中心安全。
34. Sophos：端點(diǎn)保護(hù)和防火墻解決方案。
35. Qualys：基于云的安全和合規(guī)解決方案。
36. Barracuda：電子郵件、網(wǎng)絡(luò)和應(yīng)用程序安全。
37. F-Secure：防病毒、端點(diǎn)保護(hù)和威脅檢測(cè)。
38. Malwarebytes：惡意軟件清除和端點(diǎn)保護(hù)。
39. Avast Antivirus：全面的防病毒和安全軟件。
40. Spiceworks：IT 管理和安全解決方案。
41. Comodo Security：端點(diǎn)安全和威脅情報(bào)。
42. Sucuri：網(wǎng)站安全和保護(hù)。
43. 黑莓：移動(dòng)安全和端點(diǎn)管理。
44. Webroot：基于云的防病毒和威脅情報(bào)。
45. Acronis：備份、恢復(fù)和網(wǎng)絡(luò)安全解決方案。
46. Cybereason：端點(diǎn)檢測(cè)和響應(yīng)（EDR）。
47. Duo Security：多因素身份驗(yàn)證和安全訪問(wèn)。
48. Netskope：云安全和數(shù)據(jù)保護(hù)。
49. Keeper Security：密碼管理和安全保險(xiǎn)庫(kù)。
50. Pentera：自動(dòng)化滲透測(cè)試和漏洞管理。

這些公司處于網(wǎng)絡(luò)安全的前沿，提供必要的工具和服務(wù)，以保護(hù)數(shù)據(jù)、網(wǎng)絡(luò)和系統(tǒng)免受日益增長(zhǎng)的威脅。

如何在網(wǎng)絡(luò)安全行業(yè)找到工作？

在網(wǎng)絡(luò)安全行業(yè)找到一份工作需要教育、技能、經(jīng)驗(yàn)和人脈的結(jié)合。

你可以采取以下步驟來(lái)增加獲得網(wǎng)絡(luò)安全工作的機(jī)會(huì)：

• 獲得相關(guān)學(xué)位或認(rèn)證：許多網(wǎng)絡(luò)安全工作需要計(jì)算機(jī)科學(xué)、信息技術(shù)或相關(guān)領(lǐng)域的學(xué)士學(xué)位。
• 獲得實(shí)踐經(jīng)驗(yàn)：網(wǎng)絡(luò)安全方面的實(shí)踐經(jīng)驗(yàn)受到雇主的高度重視。
• 培養(yǎng)技術(shù)技能：網(wǎng)絡(luò)安全專業(yè)人員需要編程、網(wǎng)絡(luò)和操作系統(tǒng)管理等技術(shù)技能。
• 建立專業(yè)網(wǎng)絡(luò)：參加網(wǎng)絡(luò)安全活動(dòng)，加入網(wǎng)絡(luò)安全團(tuán)體或論壇，并在社交媒體上與網(wǎng)絡(luò)安全專業(yè)人士聯(lián)系。
• 申請(qǐng)網(wǎng)絡(luò)安全職位：在網(wǎng)絡(luò)安全招聘公告欄、公司網(wǎng)站或 Linked 上尋找職位空缺

網(wǎng)絡(luò)安全公司做什么？

網(wǎng)絡(luò)安全公司提供產(chǎn)品和服務(wù)來(lái)保護(hù)個(gè)人、企業(yè)和組織免受網(wǎng)絡(luò)威脅。

這些公司通常提供硬件、軟件和服務(wù)的組合，以防止、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊。以下是網(wǎng)絡(luò)安全公司提供的一些標(biāo)準(zhǔn)服務(wù)：

• 網(wǎng)絡(luò)安全咨詢：網(wǎng)絡(luò)安全公司提供咨詢服務(wù)，以評(píng)估組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、制定網(wǎng)絡(luò)安全策略并提供改善網(wǎng)絡(luò)安全防御的建議。
• 威脅情報(bào)：網(wǎng)絡(luò)安全公司監(jiān)控威脅形勢(shì)并提供有關(guān)新興威脅的情報(bào)，以幫助組織避免潛在的攻擊。
• 安全軟件：網(wǎng)絡(luò)安全公司提供各種安全解決方案，包括防病毒軟件、防火墻、入侵檢測(cè)系統(tǒng)和加密軟件。
• 事件響應(yīng)：發(fā)生網(wǎng)絡(luò)攻擊時(shí)，網(wǎng)絡(luò)安全公司提供事件響應(yīng)服務(wù)，幫助組織控制和減輕攻擊造成的損害。
• 托管安全服務(wù)：網(wǎng)絡(luò)安全公司可以管理組織的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施并提供持續(xù)的監(jiān)控和支持，以確保安全防御始終是最新的。

網(wǎng)絡(luò)安全的未來(lái)是什么？

網(wǎng)絡(luò)安全的未來(lái)取決于技術(shù)的不斷進(jìn)步和不斷變化的威脅形勢(shì)。以下是一些預(yù)計(jì)將影響網(wǎng)絡(luò)安全未來(lái)的關(guān)鍵趨勢(shì)：

• 人工智能和機(jī)器學(xué)習(xí)：人工智能和機(jī)器學(xué)習(xí)越來(lái)越多地用于增強(qiáng)網(wǎng)絡(luò)安全防御。
• 云安全：隨著越來(lái)越多的企業(yè)轉(zhuǎn)向云端，對(duì)有效的云安全措施的需求將持續(xù)增長(zhǎng)。
• 物聯(lián)網(wǎng) (IoT) 安全：家庭和企業(yè)中使用的物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加，帶來(lái)了新的網(wǎng)絡(luò)安全挑戰(zhàn)。
• 量子計(jì)算和密碼學(xué)：量子計(jì)算的興起將需要新的加密和密碼方法來(lái)確保敏感信息的安全。
• 網(wǎng)絡(luò)安全法規(guī)：世界各國(guó)政府正在出臺(tái)新的法規(guī)來(lái)提高網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全的范圍是什么？

網(wǎng)絡(luò)安全的范圍包括為保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和電子設(shè)備免受未經(jīng)授權(quán)的訪問(wèn)、盜竊、破壞和其他形式的惡意攻擊而采取的所有措施和實(shí)踐。

這涵蓋各種活動(dòng)，包括保護(hù)硬件和軟件、保護(hù)數(shù)據(jù)和信息以及減輕網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全措施可以應(yīng)用于各個(gè)領(lǐng)域，包括政府和軍事系統(tǒng)、金融機(jī)構(gòu)、醫(yī)療保健組織、教育機(jī)構(gòu)和各種規(guī)模的企業(yè)。

隨著現(xiàn)代世界互聯(lián)互通程度不斷提高以及數(shù)字技術(shù)的普及，網(wǎng)絡(luò)安全已成為個(gè)人、組織和政府關(guān)注的關(guān)鍵問(wèn)題。

網(wǎng)絡(luò)安全的一些關(guān)鍵領(lǐng)域包括網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、身份和訪問(wèn)管理、端點(diǎn)安全、威脅情報(bào)、分析、事件響應(yīng)和災(zāi)難恢復(fù)。

組織需要一個(gè)全面的網(wǎng)絡(luò)安全策略，涵蓋所有這些領(lǐng)域，并確保采取適當(dāng)?shù)拇胧﹣?lái)預(yù)防、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅。

為什么要聘請(qǐng)網(wǎng)絡(luò)安全公司？

聘請(qǐng)網(wǎng)絡(luò)安全公司可以為組織帶來(lái)多種好處，包括：

• 專業(yè)知識(shí)：網(wǎng)絡(luò)安全公司擁有一支熟悉最新安全威脅、漏洞和最佳實(shí)踐的專家團(tuán)隊(duì)。
• 全天候監(jiān)控：網(wǎng)絡(luò)安全公司可以對(duì)組織的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行全天候監(jiān)控，以實(shí)時(shí)檢測(cè)和應(yīng)對(duì)安全事件。
• 成本效益：將網(wǎng)絡(luò)安全外包給第三方公司比建立內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)更具成本效益，因?yàn)樗鼰o(wú)需雇用和培訓(xùn)員工、購(gòu)買(mǎi)設(shè)備和工具以及管理持續(xù)的維護(hù)和更新。
• 合規(guī)性：網(wǎng)絡(luò)安全公司可以通過(guò)實(shí)施必要的安全控制和實(shí)踐幫助組織滿足HIPAA、PCI DSS 和 GDPR等監(jiān)管要求。
• 安心：通過(guò)與網(wǎng)絡(luò)安全公司合作，組織可以知道他們的系統(tǒng)和數(shù)據(jù)受到保護(hù)免受網(wǎng)絡(luò)威脅，從而讓他們專注于核心業(yè)務(wù)運(yùn)營(yíng)。

2024 年最佳網(wǎng)絡(luò)安全公司

更多互聯(lián)網(wǎng)精彩資訊、工作效率提升關(guān)注【飛魚(yú)在浪嶼】（日更新）

你能用被盜的筆記本電腦做什么？你能訪問(wèn)我們的內(nèi)部網(wǎng)絡(luò)嗎？這是客戶最近想要回答的問(wèn)題。劇透警報(bào)：是的，是的，你可以。這篇博文將帶您了解我們?nèi)绾潍@取“被盜”的公司筆記本電腦并將多個(gè)漏洞鏈接在一起以進(jìn)入客戶的公司網(wǎng)絡(luò)。

我們收到了一臺(tái)預(yù)配置了該組織標(biāo)準(zhǔn)安全堆棧的聯(lián)想筆記本電腦。我們沒(méi)有得到關(guān)于這臺(tái)筆記本電腦的任何信息，沒(méi)有測(cè)試憑據(jù)，沒(méi)有配置詳細(xì)信息，什么都沒(méi)有，這是一個(gè)100% 的黑盒測(cè)試。筆記本電腦進(jìn)來(lái)后，我們打開(kāi)了裝運(yùn)箱并開(kāi)始工作。在我們對(duì)筆記本電腦進(jìn)行調(diào)查（BIOS 設(shè)置、正常啟動(dòng)操作、硬件詳細(xì)信息等）后，我們注意到遵循了許多最佳實(shí)踐，從而消除了許多常見(jiàn)攻擊。例如：

· pcileech /DMA 攻擊被阻止，因?yàn)?Intel 的 VT-d BIOS 設(shè)置已啟用

· 所有 BIOS 設(shè)置都被密碼鎖定

· BIOS 啟動(dòng)順序被鎖定，以防止從 USB 或 CD 啟動(dòng)

· Secureboot 已完全啟用并阻止任何未簽名的操作系統(tǒng)

· 由于全盤(pán)加密，Kon-boot身份驗(yàn)證繞過(guò)不起作用

· LAN 烏龜和其他通過(guò) USB 以太網(wǎng)適配器進(jìn)行的響應(yīng)者攻擊沒(méi)有返回任何可用的信息

· SSD 使用 Microsoft 的 BitLocker 進(jìn)行全盤(pán)加密 (FDE)，通過(guò)可信平臺(tái)模塊 (TPM) 進(jìn)行保護(hù)

在沒(méi)有其他任何工作的情況下，最后一點(diǎn)，TPM 保護(hù) BitLocker，將成為我們的方式。我們?cè)谶M(jìn)行偵察時(shí)看到的一件事是筆記本電腦直接啟動(dòng)到 Windows 10 登錄屏幕。再加上 BitLocker 加密意味著驅(qū)動(dòng)器解密密鑰僅從 TPM 中提取，不需要用戶提供 PIN 或密碼，這是 BitLocker 的默認(rèn)設(shè)置。如果出現(xiàn)以下情況，Microsoft 建議提高安全性：

Attacker with skill and lengthy physical access

Targeted attack with plenty of time; this attacker will open the case, will solder, and will use sophisticated hardware or software.

Mitigation:

? Pre-boot authentication set to TPM with a PIN protector (with a sophisticated alphanumeric PIN [enhanced pin] to help the TPM anti-hammering mitigation).

正如我們將向您展示的，情況并非如此。一個(gè)預(yù)先裝備好的攻擊者可以在不到 30 分鐘的時(shí)間內(nèi)執(zhí)行整個(gè)攻擊鏈，無(wú)需焊接、簡(jiǎn)單且相對(duì)便宜的硬件和公開(kāi)可用的工具。一個(gè)將它完全置于邪惡女仆領(lǐng)域的過(guò)程。

對(duì)于那些不知道的人來(lái)說(shuō)，TPM 是一種高度安全且復(fù)雜的硬件，具有大量的篡改檢測(cè)和保護(hù)。直接攻擊 TPM 不太可能在測(cè)試時(shí)間內(nèi)取得成果。因此，我們必須查看圍繞 TPM 的信任關(guān)系及其依賴的內(nèi)容。它是與主板上其他組件不同的獨(dú)立芯片，可能容易受到各種攻擊。我們有問(wèn)題的特定 TPM 如下所示：

研究該特定 TPM 芯片后發(fā)現(xiàn)它使用串行外設(shè)接口 (SPI) 協(xié)議與 CPU 通信：

當(dāng)我們發(fā)現(xiàn)筆記本電腦原理圖中提到的 TPM 時(shí)，進(jìn)一步支持了這一點(diǎn)：

SPI 是嵌入式系統(tǒng)的通信協(xié)議，幾乎在所有硬件中都非常普遍。由于其簡(jiǎn)單性，SPI 沒(méi)有加密選項(xiàng)。任何加密都必須由設(shè)備本身處理。BitLocker 未使用 TPM 2.0 標(biāo)準(zhǔn)的任何加密通信功能，這意味著來(lái)自 TPM 的任何數(shù)據(jù)都以明文形式出現(xiàn)，包括 Windows 的解密密鑰。如果我們可以獲取該密鑰，我們應(yīng)該能夠解密驅(qū)動(dòng)器，訪問(wèn) VPN 客戶端配置，并可能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

為了嗅探通過(guò) SPI 總線移動(dòng)的數(shù)據(jù)，我們必須將引線或探針連接到 TPM 上的引腳（上面標(biāo)記為 MOSI、MISO、CS 和 CLK）。通常這很簡(jiǎn)單，但在這種情況下存在實(shí)際問(wèn)題。此 TPM 采用VQFN32封裝，非常小。“引腳”實(shí)際上只有 0.25 毫米寬，間距為 0.5 毫米。這些“引腳”實(shí)際上并不是引腳，它們平貼在芯片壁上，因此在物理上不可能連接任何類型的夾子。您可以將“飛線”焊接到焊盤(pán)上，但這很麻煩，而且往往是一種物理上非常不穩(wěn)定的連接。或者，一種常見(jiàn)的策略是找到串聯(lián)電阻以進(jìn)行焊接，但它們同樣小，甚至更脆弱。這并不容易。

但在我們開(kāi)始之前，我們認(rèn)為可能有另一種方式。很多時(shí)候，SPI 芯片與其他 SPI 芯片共享相同的“總線”。這是硬件設(shè)計(jì)人員用來(lái)簡(jiǎn)化連接、節(jié)省成本并使故障排除/編程更容易的技術(shù)。我們開(kāi)始在整個(gè)電路板上尋找可能與 TPM 位于同一總線上的任何其他芯片。也許他們的別針會(huì)更大更容易使用。在對(duì)原理圖進(jìn)行了一些探索和查閱之后，發(fā)現(xiàn) TPM 與另一個(gè)芯片共享一個(gè) SPI 總線，CMOS 芯片肯定有更大的引腳。事實(shí)上，CMOS 芯片幾乎是標(biāo)準(zhǔn)主板上最大的引腳尺寸，它是 SOP-8（又名 SOIC-8）。

這是理想的。我們繼續(xù)根據(jù)CMOS 的數(shù)據(jù)表將我們的Saleae 邏輯分析儀連接到引腳：

一個(gè)預(yù)先裝備好的攻擊者，就像我們?cè)陂_(kāi)頭提到的那樣，會(huì)改為使用SOIC-8 夾子而不是單獨(dú)的探針。這將使連接到芯片變得非常簡(jiǎn)單，并將實(shí)際攻擊時(shí)間縮短幾分鐘。

現(xiàn)在探針已連接好，我們啟動(dòng)筆記本電腦并記錄在跡線上移動(dòng)的每個(gè) SPI 字節(jié)。在數(shù)百萬(wàn)條數(shù)據(jù)中的某個(gè)地方發(fā)送了一個(gè) BitLocker 解密密鑰，現(xiàn)在的問(wèn)題是找到它。我們使用 Henri Numi 的bitlocker-spi-toolkit嘗試自動(dòng)提取密鑰，但它在我們的捕獲中不起作用。下面是他的高級(jí)分析器 (HLA) 的屏幕截圖，您可以看到一些事務(wù)被正確解析，而有些則沒(méi)有。我們的捕獲有些不同，HLA 無(wú)法解釋。

經(jīng)過(guò)幾天的故障排除，我們終于發(fā)現(xiàn)它是 TPM 命令數(shù)據(jù)包的不同位掩碼的組合，以及用于查找密鑰的不同正則表達(dá)式。提出了修復(fù)請(qǐng)求，現(xiàn)在 bitlocker-spi-toolkit 也可以解析這些類型的請(qǐng)求。一旦有了那個(gè)，鑰匙就彈出來(lái)了。

完美，現(xiàn)在我們有了解密密鑰，讓我們解密 SSD，看看我們有什么。我們拉出 SSD，將其安裝在適配器中并插入：

我們制作了驅(qū)動(dòng)器的磁盤(pán)映像，我們繼續(xù)操作。有趣的是，在整個(gè)攻擊鏈過(guò)程中，耗時(shí)最長(zhǎng)的部分只是簡(jiǎn)單地復(fù)制了 256GB 的文件。在本地獲得映像后，我們可以使用Dislocker工具集解密驅(qū)動(dòng)器：

$ echo daa0ccb7312<REDACTED> | xxd -r -p > ~/vmk
$ mkdir ~/ssd ~/mounted
$ sudo losetup  -P /dev/loop6 /mnt/hgfs/ExternalSSD/ssd-dd.img 
$ sudo fdisk -l /dev/loop6
    Disk /dev/loop6: 238.47 GiB, 256060514304 bytes, 500118192 sectors
    Units: sectors of 1 * 512=512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes
    Disklabel type: gpt
    Disk identifier: BD45F9A-F26D-41C9-8F1F-0F1EE74233
    Device         Start       End   Sectors   Size Type
    /dev/loop6p1    2048   1026047   1024000   500M Windows recovery environment
    /dev/loop6p2 1026048   2050047   1024000   500M EFI System
    /dev/loop6p3 2050048   2312191    262144   128M Microsoft reserved
    /dev/loop6p4 2312192 500117503 497805312 237.4G Microsoft basic data <- bitlocker drive
$ sudo dislocker-fuse -K ~/vmk /dev/loop6p4 -- ~/ssd
$ sudo ntfs-3g ~/ssd/dislocker-file ~/mounted
$ ls -al ~/mounted
    total 19156929
    drwxrwxrwx  1 root root        8192 May  5 19:00  .
    drwxrwxrwt 17 root root        4096 Jun 15 09:43  ..
    drwxrwxrwx  1 root root           0 May  6 14:29 '$Recycle.Bin'
    drwxrwxrwx  1 root root           0 May  4 10:55 '$WinREAgent'
    -rwxrwxrwx  1 root root      413738 Dec  7  2019  bootmgr
    -rwxrwxrwx  1 root root           1 Dec  7  2019  BOOTNXT
    lrwxrwxrwx  2 root root          15 May  4 11:18 'Documents and Settings' -> ~/mounted/Users

既然我們可以離線訪問(wèn)純文本內(nèi)容，我們就開(kāi)始了掠奪數(shù)據(jù)的標(biāo)準(zhǔn)流程。提取密碼哈希、明文或編碼憑據(jù)、暴露的敏感文件等。不幸的是，沒(méi)有發(fā)現(xiàn)任何有用的東西，我們也沒(méi)有得到任何類型的離線憑據(jù)，這應(yīng)該不足為奇，因?yàn)檫@不是實(shí)際員工的筆記本電腦憑借多年的文件，它是專為此次特定測(cè)試打造的筆記本電腦。但是，、確實(shí)找到了正在使用的 VPN 客戶端：Palo Alto 的 Global Protect (GP)。GP 有一個(gè)有趣的“功能”，稱為登錄前隧道：

預(yù)登錄是一種在用戶登錄之前建立VPN隧道的連接方法。 預(yù)登錄的目的是對(duì)端點(diǎn)（而不是用戶）進(jìn)行身份驗(yàn)證，并在端點(diǎn)通電后立即運(yùn)行域腳本或其他任務(wù).

對(duì)于 IT 部門(mén)管理其端點(diǎn)來(lái)說(shuō)，這聽(tīng)起來(lái)是一個(gè)非常好的功能。這聽(tīng)起來(lái)也是一種在不知道任何人的憑據(jù)的情況下訪問(wèn) VPN 的好方法。理論上，如果我們可以啟動(dòng)筆記本電腦的后門(mén)版本，例如使用粘性密鑰后門(mén)，我們應(yīng)該能夠訪問(wèn) VPN 隧道而無(wú)需任何憑據(jù)。在實(shí)踐中，有很多方法可以實(shí)現(xiàn)這一點(diǎn)，但為了速度，我們決定走虛擬化路線。

由于我們擁有對(duì)整個(gè)文件系統(tǒng)的寫(xiě)訪問(wèn)權(quán)限，我們可以做任何事情，包括重寫(xiě)內(nèi)核級(jí)惡意軟件的驅(qū)動(dòng)程序文件到代理特權(quán) DLL 以添加帳戶。為了時(shí)間和效率的利益，粘滯鍵非常適合這種場(chǎng)景，其過(guò)程很簡(jiǎn)單：

1. 將 C:\Windows\System32\Utilman.exe 復(fù)制到 Utilman.exe.bak
2. 將 C:\Windows\System32\cmd.exe 復(fù)制到 Utilman.exe
3. 在登錄屏幕上按 Windows + U

現(xiàn)在我們有了后門(mén)訪問(wèn)，我們只需要啟動(dòng)驅(qū)動(dòng)器。為了將解密后的 Windows 映像作為虛擬機(jī)啟動(dòng)，我們首先需要?jiǎng)?chuàng)建一個(gè)自定義 VMDK 文件。該文件需要設(shè)置參數(shù)并將解密后的BitLocker分區(qū)和加密鏡像的起始扇區(qū)映射到相應(yīng)的VM分區(qū)。由此產(chǎn)生的 VMDK 是：

# Disk DescriptorFile
version=1
CID=19362586
parentCID=ffffffff
createType="partitionedDevice"

# Extent description
RW 63 FLAT "ssd-dd.img" 0
RW 1985 FLAT "ssd-dd.img" 2048
RW 1024000 ZERO
RW 1024000 FLAT "ssd-dd.img" 1026048
RW 262144 FLAT "ssd-dd.img" 2050048

# This is the 4th partition where the encrypted bitlocker drive was
RW 497805312 FLAT "dislocker2-file" 0

RW 655 ZERO 
RW 33 FLAT "ssd-dd.img" 63

ddb.virtualHWVersion="4"
ddb.adapterType="ide"
ddb.geometry.cylinders="16383"
ddb.geometry.heads="16"
ddb.geometry.sectors="63"
ddb.uuid.image="43e1e-5c24-46cc-bcec-daad3d500"
ddb.uuid.parent="00000000-0000-0000-0000-000000000000"
ddb.uuid.modification="8d285-ad86-4227-86d4-ec168b6b3"
ddb.uuid.parentmodification="00000000-0000-0000-0000-000000000000"
ddb.geometry.biosCylinders="1024"
ddb.geometry.biosHeads="255"
ddb.geometry.biosSectors="63"

現(xiàn)在，使用 VMDK 和粘滯鍵后門(mén) Windows 映像，我們創(chuàng)建了虛擬機(jī)，啟動(dòng)它，然后在登錄屏幕上點(diǎn)擊 WIndows + U。

GlobalProtect 狀態(tài)：已連接

這正是我們想要的。為此，通過(guò)附加到計(jì)算機(jī)帳戶的證書(shū)對(duì) VPN 進(jìn)行身份驗(yàn)證。由于每個(gè)計(jì)算機(jī)帳戶在 Active Directory 中都具有非常基本的權(quán)限，因此我們可以在域內(nèi)運(yùn)行基本的 SMB 命令。我們向域控制器查詢各種類型的域信息，例如用戶、組、系統(tǒng)等。我們還可以列出和查看內(nèi)部 SMB 共享上的文件內(nèi)容：

我們也可以利用這個(gè)電腦賬戶的訪問(wèn)權(quán)限作為平臺(tái)發(fā)起內(nèi)部攻擊和橫向升級(jí)。為了證明我們擁有對(duì)不應(yīng)該擁有的服務(wù)器的寫(xiě)訪問(wèn)權(quán)限，我們從上面選擇了內(nèi)部文件服務(wù)器。概念證明是將文件寫(xiě)入該服務(wù)器并將其讀回以證明讀/寫(xiě)訪問(wèn)權(quán)限。

這個(gè)“掃描器”共享是攻擊者的絕佳選擇，作為各種技術(shù)的水坑，例如 LNK 攻擊、木馬 PDF 等。此時(shí)我們已經(jīng)獲得了對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限、對(duì) Active Directory 的基本權(quán)限以及訪問(wèn)內(nèi)部文件共享，足以開(kāi)始危害敏感的公司數(shù)據(jù)。

回顧一下，我們拿了一臺(tái)鎖定的 FDE 筆記本電腦，嗅探了來(lái)自 TPM 的 BitLocker 解密密鑰，后門(mén)虛擬化圖像，并使用其 VPN 自動(dòng)連接功能攻擊內(nèi)部公司網(wǎng)絡(luò)。這是從被盜筆記本電腦到內(nèi)部妥協(xié)的一種方式。