Φυσικές Επιθέσεις

Reading time: 7 minutes

Ανάκτηση Κωδικού BIOS και Ασφάλεια Συστήματος

Επαναφορά του BIOS μπορεί να επιτευχθεί με διάφορους τρόπους. Οι περισσότερες μητρικές πλακέτες περιλαμβάνουν μια μπαταρία που, όταν αφαιρεθεί για περίπου 30 λεπτά, θα επαναφέρει τις ρυθμίσεις του BIOS, συμπεριλαμβανομένου του κωδικού πρόσβασης. Εναλλακτικά, ένας jumper στη μητρική πλακέτα μπορεί να ρυθμιστεί για να επαναφέρει αυτές τις ρυθμίσεις συνδέοντας συγκεκριμένες ακίδες.

Για καταστάσεις όπου οι υλικές ρυθμίσεις δεν είναι δυνατές ή πρακτικές, τα εργαλεία λογισμικού προσφέρουν μια λύση. Η εκτέλεση ενός συστήματος από ένα Live CD/USB με διανομές όπως το Kali Linux παρέχει πρόσβαση σε εργαλεία όπως το killCmos και το CmosPWD, τα οποία μπορούν να βοηθήσουν στην ανάκτηση του κωδικού BIOS.

Σε περιπτώσεις όπου ο κωδικός BIOS είναι άγνωστος, η λανθασμένη εισαγωγή του τρεις φορές θα έχει συνήθως ως αποτέλεσμα έναν κωδικό σφάλματος. Αυτός ο κωδικός μπορεί να χρησιμοποιηθεί σε ιστοσελίδες όπως το https://bios-pw.org για να ανακτηθεί πιθανώς ένας χρήσιμος κωδικός.

Ασφάλεια UEFI

Για σύγχρονα συστήματα που χρησιμοποιούν UEFI αντί για παραδοσιακό BIOS, το εργαλείο chipsec μπορεί να χρησιμοποιηθεί για την ανάλυση και την τροποποίηση των ρυθμίσεων UEFI, συμπεριλαμβανομένης της απενεργοποίησης του Secure Boot. Αυτό μπορεί να επιτευχθεί με την ακόλουθη εντολή:

python chipsec_main.py -module exploits.secure.boot.pk

Ανάλυση RAM και Επιθέσεις Ψυχρού Εκκίνησης

Η RAM διατηρεί δεδομένα για λίγο μετά την διακοπή ρεύματος, συνήθως για 1 έως 2 λεπτά. Αυτή η επιμονή μπορεί να επεκταθεί σε 10 λεπτά με την εφαρμογή ψυχρών ουσιών, όπως το υγρό άζωτο. Κατά τη διάρκεια αυτής της εκτεταμένης περιόδου, μπορεί να δημιουργηθεί ένα memory dump χρησιμοποιώντας εργαλεία όπως το dd.exe και το volatility για ανάλυση.

Επιθέσεις Άμεσης Πρόσβασης Μνήμης (DMA)

INCEPTION είναι ένα εργαλείο σχεδιασμένο για φυσική χειραγώγηση μνήμης μέσω DMA, συμβατό με διεπαφές όπως το FireWire και το Thunderbolt. Επιτρέπει την παράκαμψη διαδικασιών σύνδεσης με την επιδιόρθωση της μνήμης ώστε να δέχεται οποιονδήποτε κωδικό πρόσβασης. Ωστόσο, είναι αναποτελεσματικό κατά των συστημάτων Windows 10.

Live CD/USB για Πρόσβαση στο Σύστημα

Η αλλαγή συστημικών δυαδικών αρχείων όπως το sethc.exe ή το Utilman.exe με ένα αντίγραφο του cmd.exe μπορεί να παρέχει μια γραμμή εντολών με δικαιώματα συστήματος. Εργαλεία όπως το chntpw μπορούν να χρησιμοποιηθούν για την επεξεργασία του αρχείου SAM μιας εγκατάστασης Windows, επιτρέποντας αλλαγές κωδικών πρόσβασης.

Kon-Boot είναι ένα εργαλείο που διευκολύνει την είσοδο σε συστήματα Windows χωρίς να γνωρίζετε τον κωδικό πρόσβασης, τροποποιώντας προσωρινά τον πυρήνα των Windows ή το UEFI. Περισσότερες πληροφορίες μπορείτε να βρείτε στο https://www.raymond.cc.

Διαχείριση Χαρακτηριστικών Ασφαλείας των Windows

Συντομεύσεις Εκκίνησης και Ανάκτησης

• Supr: Πρόσβαση στις ρυθμίσεις BIOS.
• F8: Είσοδος σε λειτουργία Ανάκτησης.
• Πατώντας Shift μετά την μπάνερ των Windows μπορεί να παρακαμφθεί η αυτόματη σύνδεση.

Συσκευές BAD USB

Συσκευές όπως το Rubber Ducky και το Teensyduino λειτουργούν ως πλατφόρμες για τη δημιουργία bad USB συσκευών, ικανών να εκτελούν προκαθορισμένα payloads όταν συνδεθούν σε έναν υπολογιστή-στόχο.

Αντίγραφο Σκιάς Όγκου

Δικαιώματα διαχειριστή επιτρέπουν τη δημιουργία αντιγράφων ευαίσθητων αρχείων, συμπεριλαμβανομένου του αρχείου SAM, μέσω του PowerShell.

Παράκαμψη Κρυπτογράφησης BitLocker

Η κρυπτογράφηση BitLocker μπορεί ενδεχομένως να παρακαμφθεί αν ο κωδικός ανάκτησης βρεθεί μέσα σε ένα αρχείο memory dump (MEMORY.DMP). Εργαλεία όπως το Elcomsoft Forensic Disk Decryptor ή το Passware Kit Forensic μπορούν να χρησιμοποιηθούν για αυτό το σκοπό.

Κοινωνική Μηχανική για Προσθήκη Κωδικού Ανάκτησης

Ένας νέος κωδικός ανάκτησης BitLocker μπορεί να προστεθεί μέσω τακτικών κοινωνικής μηχανικής, πείθοντας έναν χρήστη να εκτελέσει μια εντολή που προσθέτει έναν νέο κωδικό ανάκτησης που αποτελείται από μηδενικά, απλοποιώντας έτσι τη διαδικασία αποκρυπτογράφησης.

Εκμετάλλευση Διακοπτών Εισβολής Σασί / Συντήρησης για Επαναφορά BIOS σε Εργοστασιακές Ρυθμίσεις

Πολλά σύγχρονα φορητά υπολογιστές και υπολογιστές μικρού μεγέθους περιλαμβάνουν έναν διακόπτη εισβολής σασί που παρακολουθείται από τον Ενσωματωμένο Ελεγκτή (EC) και το firmware BIOS/UEFI. Ενώ ο κύριος σκοπός του διακόπτη είναι να ανυψώνει μια ειδοποίηση όταν ανοίγει μια συσκευή, οι προμηθευτές μερικές φορές εφαρμόζουν μια μη τεκμηριωμένη συντόμευση ανάκτησης που ενεργοποιείται όταν ο διακόπτης αλλάξει σε μια συγκεκριμένη ακολουθία.

Πώς Λειτουργεί η Επίθεση

1. Ο διακόπτης είναι συνδεδεμένος σε μια GPIO διακοπή στον EC.
2. Το firmware που εκτελείται στον EC παρακολουθεί το χρονισμό και τον αριθμό των πατημάτων.
3. Όταν αναγνωριστεί ένα σκληρά κωδικοποιημένο μοτίβο, ο EC καλεί μια ρουτίνα mainboard-reset που σβήνει το περιεχόμενο της μνήμης NVRAM/CMOS του συστήματος.
4. Στην επόμενη εκκίνηση, το BIOS φορτώνει τις προεπιλεγμένες τιμές – ο κωδικός πρόσβασης διαχειριστή, τα κλειδιά Secure Boot και όλες οι προσαρμοσμένες ρυθμίσεις διαγράφονται.

Μόλις απενεργοποιηθεί το Secure Boot και ο κωδικός πρόσβασης firmware εξαφανιστεί, ο επιτιθέμενος μπορεί απλά να εκκινήσει οποιαδήποτε εξωτερική εικόνα OS και να αποκτήσει απεριόριστη πρόσβαση στους εσωτερικούς δίσκους.

Πραγματικό Παράδειγμα – Φορητός Υπολογιστής Framework 13

Η συντόμευση ανάκτησης για τον Framework 13 (11ης/12ης/13ης γενιάς) είναι:

Press intrusion switch  →  hold 2 s
Release                 →  wait 2 s
(repeat the press/release cycle 10× while the machine is powered)

Μετά τον δέκατο κύκλο, ο EC θέτει μια σημαία που δίνει εντολή στο BIOS να διαγράψει το NVRAM κατά την επόμενη εκκίνηση. Η όλη διαδικασία διαρκεί ~40 δευτερόλεπτα και απαιτεί μόνο ένα κατσαβίδι.

Γενική Διαδικασία Εκμετάλλευσης

1. Ενεργοποιήστε ή αναστείλετε-επανεκκινήστε τον στόχο ώστε ο EC να λειτουργεί.
2. Αφαιρέστε το κάτω κάλυμμα για να εκθέσετε τον διακόπτη εισβολής/συντήρησης.
3. Αναπαραγάγετε το συγκεκριμένο πρότυπο εναλλαγής του προμηθευτή (συμβουλευτείτε την τεκμηρίωση, φόρουμ ή αναλύστε αντίστροφα το firmware του EC).
4. Συναρμολογήστε ξανά και επανεκκινήστε – οι προστασίες του firmware θα πρέπει να είναι απενεργοποιημένες.
5. Εκκινήστε ένα live USB (π.χ. Kali Linux) και εκτελέστε τις συνήθεις διαδικασίες μετά την εκμετάλλευση (εκχύλιση διαπιστευτηρίων, εξαγωγή δεδομένων, εμφύτευση κακόβουλων EFI δυαδικών αρχείων, κ.λπ.).

Ανίχνευση & Μετριασμός

• Καταγράψτε τα γεγονότα εισβολής του πλαισίου στην κονσόλα διαχείρισης του OS και συσχετίστε τα με απροσδόκητες επαναφορές του BIOS.
• Χρησιμοποιήστε σφραγίδες ανίχνευσης παραβίασης σε βίδες/καλύμματα για να ανιχνεύσετε το άνοιγμα.
• Διατηρήστε τις συσκευές σε φυσικά ελεγχόμενες περιοχές; υποθέστε ότι η φυσική πρόσβαση ισοδυναμεί με πλήρη παραβίαση.
• Όπου είναι διαθέσιμο, απενεργοποιήστε τη δυνατότητα "επαναφορά διακόπτη συντήρησης" του προμηθευτή ή απαιτήστε επιπλέον κρυπτογραφική εξουσιοδότηση για επαναφορές NVRAM.

Αναφορές

• Pentest Partners – “Framework 13. Press here to pwn”
• FrameWiki – Οδηγός Επαναφοράς Κύριας Πλακέτας