日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會(huì)員:747

來源:量子位

工作電腦被偷的 30 分鐘后,公司內(nèi)網(wǎng)就進(jìn)人了。

不僅擁有活動(dòng)目錄上的基本特權(quán),還能在內(nèi)部文件中來去自如!

可我那保護(hù)重重的 Windows 防火墻呢?

我那可以生成和存儲各種密鑰的 TPM 芯片呢?

黑客到底是怎么越過這些阻礙的?

繞過 TPM

好,現(xiàn)在請出我們的受害者——

一臺 Windows 10 系統(tǒng)的聯(lián)想筆記本電腦。

使用的是微軟的 BitLocker,通過微軟的可信平臺模塊(TPM)加密。

這時(shí),要提取驅(qū)動(dòng)器解密密鑰進(jìn)而入侵內(nèi)網(wǎng),就需要從 TPM 入手:

不過這是一種結(jié)構(gòu)高度復(fù)雜,且含有許多篡改檢測和保護(hù)的硬件。直接攻擊可能會(huì)花費(fèi)大量時(shí)間。

因此,我們可以關(guān)注一下 TPM 周圍的依賴關(guān)系和內(nèi)容。

比如……并沒有使用TPM 2.0 標(biāo)準(zhǔn)的加密通信特性的 BitLocker。

這意味著從 TPM 發(fā)出的數(shù)據(jù)都是以明文形式游走在 SPI 總線上的,包括 Windows 的解密密鑰。

如果能抓住那個(gè)密鑰,就能夠解密驅(qū)動(dòng)器,獲得 VPN 客戶端配置的訪問權(quán)限,進(jìn)而有訪問內(nèi)部網(wǎng)絡(luò)的可能。

可現(xiàn)在問題又來了。

要抓取 SPI 總線上的數(shù)據(jù),就要將引線或探針連接到 TPM 的引腳上。

而這個(gè) " 引腳 " 只有 0.25 毫米寬,0.5 毫米間隔,還是一個(gè)平放在芯片面上,難以用物理方式連接的偽 · 引腳。

那有沒有更大,更好連接的呢?

還真有:

這是與 TPM 共享一個(gè) SPI 總線的 CMOS 芯片,它的引腳非常清晰分明。

好,Saleae 邏輯分析儀,連接!

從預(yù)登陸功能的 " 后門 " 入侵

現(xiàn)在,探測儀已經(jīng)連接,開始啟動(dòng)電腦。

我們現(xiàn)在需要在數(shù)以百萬計(jì)的 SPI 字節(jié)中,找到一個(gè)正在被發(fā)送的 BitLocker 解密密鑰。

先用高級分析器(HLA)進(jìn)行事務(wù)分析:

經(jīng)過幾天的故障排除和比較之后,我們發(fā)現(xiàn)了 TPM 命令包的不同位掩碼的組合,以及用于尋找密鑰的不同正則表達(dá)式。

再用 bitlocker-spi-toolkit 解析這些請求,鑰匙就拿到了!

接下來讓我們用鑰匙解密固盤(SSD),看看里面到底有什么。

拔出固態(tài)硬盤,安裝在一個(gè)適配器上,然后插上:

在做了一個(gè)磁盤鏡像之后,我們使用 Dislocker 工具集來解密驅(qū)動(dòng)器:

$ echo daa0ccb7312 | xxd -r -p > ~/vmk

$ mkdir ~/ssd ~/mounted

$ sudo losetup -P /dev/loop6 /mnt/hgfs/ExternalSSD/ssd-dd.img

$ sudo fdisk -l /dev/loop6

Disk /dev/loop6: 238.47 GiB, 256060514304 bytes, 500118192 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size ( logical/physical ) : 512 bytes / 512 bytes

I/O size ( minimum/optimal ) : 512 bytes / 512 bytes

Disklabel type: gpt

Disk identifier: BD45F9A-F26D-41C9-8F1F-0F1EE74233

Device Start End Sectors Size Type

/dev/loop6p1 2048 1026047 1024000 500M Windows recovery environment

/dev/loop6p2 1026048 2050047 1024000 500M EFI System

/dev/loop6p3 2050048 2312191 262144 128M Microsoft reserved

/dev/loop6p4 2312192 500117503 497805312 237.4G Microsoft basic data

$ sudo dislocker-fuse -K ~/vmk /dev/loop6p4 -- ~/ssd

$ sudo ntfs-3g ~/ssd/dislocker-file ~/mounted

$ ls -al ~/mounted

total 19156929

drwxrwxrwx 1 root root 8192 May 5 19:00 .

drwxrwxrwt 17 root root 4096 Jun 15 09:43 ..

drwxrwxrwx 1 root root 0 May 6 14:29 '$Recycle.Bin'

drwxrwxrwx 1 root root 0 May 4 10:55 '$WinREAgent'

-rwxrwxrwx 1 root root 413738 Dec 7 2019 bootmgr

-rwxrwxrwx 1 root root 1 Dec 7 2019 BOOTNXT

lrwxrwxrwx 2 root root 15 May 4 11:18 'Documents and Settings' -> ~/mounted/Users

現(xiàn)在就可以離線訪問內(nèi)容的明文了!

此外,我們還發(fā)現(xiàn)了正在使用的 VPN 客戶端 : Palo Alto 的全球保護(hù)(GP)。

GP 有一項(xiàng)預(yù)登陸(Pre-logon)功能,會(huì)對端點(diǎn)(而不是用戶)進(jìn)行身份驗(yàn)證,并允許域腳本或其他任務(wù)在端點(diǎn)啟動(dòng)后立即運(yùn)行。

這樣,我們就可以使用粘滯鍵后門(Sticky Keys Backdoor),在不需要任何憑證的的前提下訪問 VPN。

有了后門訪問之后,我們需要將解密后的 Windows 映像引導(dǎo)為虛擬機(jī)。

因此,先創(chuàng)建一個(gè) VMDK,將解密 BitLocker 分區(qū)和加密映像的起始扇區(qū)映射到適當(dāng)?shù)?VM 分區(qū):

# Disk DescriptorFile

version=1

CID=19362586

parentCID=ffffffff

createType="partitionedDevice"

# Extent description

RW 63 FLAT "ssd-dd.img" 0

RW 1985 FLAT "ssd-dd.img" 2048

RW 1024000 ZERO

RW 1024000 FLAT "ssd-dd.img" 1026048

RW 262144 FLAT "ssd-dd.img" 2050048

# This is the 4th partition where the encrypted bitlocker drive was

RW 497805312 FLAT "dislocker2-file" 0

RW 655 ZERO

RW 33 FLAT "ssd-dd.img" 63

ddb.virtualHWVersion = "4"

ddb.adapterType="ide"

ddb.geometry.cylinders="16383"

ddb.geometry.heads="16"

ddb.geometry.sectors="63"

ddb.uuid.image="43e1e-5c24-46cc-bcec-daad3d500"

ddb.uuid.parent="00000000-0000-0000-0000-000000000000"

ddb.uuid.modification="8d285-ad86-4227-86d4-ec168b6b3"

ddb.uuid.parentmodification="00000000-0000-0000-0000-000000000000"

ddb.geometry.biosCylinders="1024"

ddb.geometry.biosHeads="255"

ddb.geometry.biosSectors="63"

再使用 VMDK 和粘滯鍵后門的 WIndows 鏡像,創(chuàng)建并啟動(dòng)虛擬機(jī),按下 WIndows + U:

全球保護(hù)狀態(tài):已連接

然后就可以在域中運(yùn)行基本的 SMB 命令了。

比如查詢?nèi)缬脩簟⒔M、系統(tǒng)等網(wǎng)域控制器的各種類型的領(lǐng)域信息。

或者列出并查看中小企業(yè)內(nèi)部共享的文件內(nèi)容:

還可以通過訪問這個(gè)電腦帳戶來發(fā)動(dòng)內(nèi)部攻擊。

比如將一個(gè)文件寫入內(nèi)部文件服務(wù)器,并將其讀回:

至此,我們已經(jīng)獲得了內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限——

包括在活動(dòng)目錄上的基本特權(quán),以及對內(nèi)部文件共享的訪問權(quán)限。

而以此開始做 LNK 攻擊或 trojaned pdf 等入侵,最終致使數(shù)據(jù)泄露也就有了可能。

Windows11 更新強(qiáng)制要求設(shè)備有 TPM2.0當(dāng)然,上述的所有過程都不是真的黑客攻擊。

而是美國的一家網(wǎng)絡(luò)安全公司Dolos Group面對客戶疑惑的回應(yīng):

你能用偷來的筆記本干什么?能進(jìn)入我們的內(nèi)網(wǎng)嗎?

因此,Dolos Group 團(tuán)隊(duì)就展示了如何使用一臺 " 被盜 " 的公司筆記本電腦,將幾個(gè)漏洞鏈接在一起,最后進(jìn)入公司內(nèi)網(wǎng)。

而讓人注意的是,Dolos Group 團(tuán)隊(duì)在入侵的最開始就提到:

BitLocker 沒有使用 TPM 2.0 標(biāo)準(zhǔn)的加密通信特性。

這不禁讓人想到了 Windows11 更新時(shí)強(qiáng)制要求設(shè)備有 TPM2.0 的措施:

所以,2.0 版本對比 1.X 標(biāo)準(zhǔn)都增加了哪些功能?

簡單來說,TPM 2.0 大幅增加了模塊內(nèi)置加密算法的種類和安全性。

因此兼容的軟件和場景更多,生成的密碼更長更難破解。

結(jié)合上文對適用了舊版本 TPM 的電腦的入侵,微軟會(huì)將 TPM2.0 列入 Windows 11 的必須硬件配置列表中,似乎也就不難理解了。

不過,也有網(wǎng)友對此表示:

為了避免這種問題,你應(yīng)該有一個(gè)必要的外部密碼來解鎖硬盤,而非 TPM。

參考鏈接:

[ 1 ] https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network

[ 2 ] https://news.ycombinator.com/item?id=27986316

團(tuán)隊(duì)網(wǎng)站:

https://dolosgroup.io/

分享到:
標(biāo)簽:為啥 內(nèi)網(wǎng) 入侵 強(qiáng)制 業(yè)界 更新 工作 電腦
用戶無頭像

網(wǎng)友整理

注冊時(shí)間:

網(wǎng)站:5 個(gè)   小程序:0 個(gè)  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會(huì)員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動(dòng)步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動(dòng)步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定