博雯 發(fā)自 凹非寺量子位 報道 | 公眾號 QbitAI 工作電腦被偷的30分鐘后 ， 公司內(nèi)網(wǎng)就進人了 。
不僅擁有活動目錄上的基本特權(quán) ， 還能在內(nèi)部文件中來去自如！
可我那保護重重的Windows防火墻呢？
我那可以生成和存儲各種密鑰的TPM芯片呢？

文章插圖
黑客到底是怎么越過這些阻礙的？
繞過TPM 好 ， 現(xiàn)在請出我們的受害者——
一臺Windows 10系統(tǒng)的聯(lián)想筆記本電腦 。
使用的是微軟的BitLocker ， 通過微軟的可信平臺模塊（TPM）加密 。
這時 ， 要取驅(qū)動器解密密鑰進而入侵內(nèi)網(wǎng) ， 就需要從TPM入手：


文章插圖
不過這是一種結(jié)構(gòu)高度復(fù)雜 ， 且含有許多篡改檢測和保護的硬件 。直接攻擊可能會花費大量時間 。
因此 ， 我們可以一下TPM周圍的依賴關(guān)系和內(nèi)容 。
比如……并沒有使用TPM 2.0標準的加密通信特性的BitLocker 。
這意味著從TPM發(fā)出的數(shù)據(jù)都是以明文形式游走在SPI總線上的 ， 包括Windows的解密密鑰 。
如果能抓住那個密鑰 ， 就能夠解密驅(qū)動器 ， 獲得VPN客戶端配置的訪問權(quán)限 ， 進而有訪問內(nèi)部網(wǎng)絡(luò)的可能 。
可現(xiàn)在問題又來了 。
要抓取SPI總線上的數(shù)據(jù) ， 就要將引線或探針連接到TPM的引腳上 。
而這個“引腳”只有0.25毫米寬 ， 0.5毫米間隔 ， 還是一個平放在芯片面上 ， 難以用物理方式連接的偽引腳 。
那有沒有更大 ， 更好連接的呢？
還真有：


文章插圖
這是與TPM共享一個SPI總線的CMOS芯片 ， 它的引腳非常清晰分明 。
好 ， Saleae邏輯分析儀 ， 連接！


文章插圖
從預(yù)登陸功能的“后門”入侵 現(xiàn)在 ， 探測儀已經(jīng)連接 ， 開始啟動電腦 。
我們現(xiàn)在需要在數(shù)以百萬計的SPI字節(jié)中 ， 找到一個正在被發(fā)送的BitLocker解密密鑰 。
先用高級分析器（HLA）進行事務(wù)分析：


文章插圖
經(jīng)過幾天的故障排除和比較之后 ， 我們發(fā)現(xiàn)了TPM命令包的不同位掩碼的組合 ， 以及用于尋找密鑰的不同正則表達式 。
再用bitlocker-spi-toolkit解析這些請求 ， 鑰匙就拿到了！


文章插圖
接下來讓我們用鑰匙解密固盤（SSD） ， 看看里面到底有什么 。
拔出固態(tài)硬盤 ， 安裝在一個適配器上 ， 然后插上：


文章插圖
在做了一個磁盤鏡像之后 ， 我們使用Dislocker工具集來解密驅(qū)動器 。
此外 ， 我們還發(fā)現(xiàn)了正在使用的VPN客戶端: Palo Alto的全球保護（GP） 。
GP有一項預(yù)登陸（Pre-logon）功能 ， 會對端點（而不是用戶）進行身份驗證 ， 并允許域腳本或其他任務(wù)在端點啟動后立即運行 。
這樣 ， 我們就可以使用粘滯鍵后門（Sticky Keys Backdoor） ， 在不需要任何憑證的的前下訪問VPN 。
有了后門訪問之后 ， 我們需要將解密后的Windows映像引導(dǎo)為虛擬機 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

• 訪問局域網(wǎng)的2種方法 如何使用端口訪問局域網(wǎng)電腦
• 黑戶是什么意思
• 是不是臺灣老大人怎么樣 柯受良是黑社會嗎
• 棕色衣服顯黑還是顯白 棕色顯黑還是顯白
• 黑馬時尚健身俱樂部預(yù)售中....
• 耐克男運動鞋正品價格 耐克鞋貴嗎
• 兒童正常痣的樣子圖片 兒童身上不斷長小黑痣
• 黑芝麻糊的做法 喝黑芝麻糊的三大好處
• 小黑蟲是什么蟲 小黑蟲簡單介紹
• 魔獸世界:哪里有更多的真銀礦和黑鐵礦？ 真銀礦石哪里多