HackTricks物理攻撃
Reading time: 10 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
BIOSパスワードの回復とシステムセキュリティ
BIOSのリセットは、いくつかの方法で実行できます。ほとんどのマザーボードにはバッテリーが含まれており、これを約30分取り外すことで、パスワードを含むBIOS設定がリセットされます。あるいは、マザーボード上のジャンパーを調整して、特定のピンを接続することでこれらの設定をリセットすることもできます。
ハードウェアの調整が不可能または実用的でない場合、ソフトウェアツールが解決策を提供します。Kali Linuxのようなディストリビューションを使用してLive CD/USBからシステムを起動することで、BIOSパスワードの回復を支援する**killCmosやCmosPWD**などのツールにアクセスできます。
BIOSパスワードが不明な場合、通常、3回間違って入力するとエラーコードが表示されます。このコードは、https://bios-pw.orgのようなウェブサイトで使用して、使用可能なパスワードを取得するために利用できます。
UEFIセキュリティ
従来のBIOSの代わりにUEFIを使用している現代のシステムでは、ツールchipsecを利用してUEFI設定を分析および変更し、Secure Bootを無効にすることができます。これは、次のコマンドで実行できます:
python chipsec_main.py -module exploits.secure.boot.pk
RAM分析とコールドブート攻撃
RAMは電源が切れた後、通常1〜2分の間データを保持します。この持続性は、液体窒素などの冷却物質を適用することで10分に延長できます。この延長された期間中に、dd.exeやvolatilityなどのツールを使用してメモリダンプを作成し、分析することができます。
ダイレクトメモリアクセス(DMA)攻撃
INCEPTIONは、物理メモリ操作のために設計されたツールで、FireWireやThunderboltなどのインターフェースと互換性があります。これは、メモリをパッチして任意のパスワードを受け入れることでログイン手続きをバイパスすることを可能にします。ただし、Windows 10システムには効果がありません。
システムアクセスのためのライブCD/USB
sethc.exeやUtilman.exeをcmd.exeのコピーに変更することで、システム権限を持つコマンドプロンプトを提供できます。chntpwなどのツールを使用して、WindowsインストールのSAMファイルを編集し、パスワードを変更することができます。
Kon-Bootは、WindowsカーネルまたはUEFIを一時的に変更することで、パスワードを知らなくてもWindowsシステムにログインすることを容易にするツールです。詳細はhttps://www.raymond.ccで確認できます。
Windowsセキュリティ機能の取り扱い
ブートおよびリカバリーショートカット
- Supr: BIOS設定にアクセス。
- F8: リカバリーモードに入る。
- Windowsバナーの後にShiftを押すことで、自動ログインをバイパスできます。
BAD USBデバイス
Rubber DuckyやTeensyduinoのようなデバイスは、ターゲットコンピュータに接続されたときに事前定義されたペイロードを実行できるbad USBデバイスを作成するためのプラットフォームとして機能します。
ボリュームシャドウコピー
管理者権限を持つことで、PowerShellを通じてSAMファイルを含む機密ファイルのコピーを作成できます。
BitLocker暗号化のバイパス
BitLocker暗号化は、メモリダンプファイル(MEMORY.DMP)内にリカバリーパスワードが見つかればバイパスできる可能性があります。これには、Elcomsoft Forensic Disk DecryptorやPassware Kit Forensicなどのツールを利用できます。
リカバリーキー追加のためのソーシャルエンジニアリング
新しいBitLockerリカバリーキーは、ユーザーに新しいリカバリーキーをゼロで構成するコマンドを実行させることで追加できます。これにより、復号プロセスが簡素化されます。
シャーシ侵入/メンテナンススイッチを利用してBIOSを工場出荷時設定にリセットする
多くの現代のノートパソコンや小型デスクトップには、埋め込みコントローラー(EC)とBIOS/UEFIファームウェアによって監視されるシャーシ侵入スイッチが含まれています。このスイッチの主な目的は、デバイスが開かれたときに警告を発することですが、ベンダーは時折、特定のパターンでスイッチが切り替えられたときにトリガーされる文書化されていないリカバリーショートカットを実装します。
攻撃の仕組み
- スイッチはECのGPIO割り込みに接続されています。
- EC上で動作するファームウェアは、押された回数とタイミングを追跡します。
- ハードコーディングされたパターンが認識されると、ECはメインボードリセットルーチンを呼び出し、システムNVRAM/CMOSの内容を消去します。
- 次回のブート時に、BIOSはデフォルト値を読み込みます – スーパーバイザーパスワード、セキュアブートキー、およびすべてのカスタム設定がクリアされます。
セキュアブートが無効になり、ファームウェアパスワードが消去されると、攻撃者は単に任意の外部OSイメージをブートし、内部ドライブへの制限のないアクセスを取得できます。
実際の例 – Framework 13ノートパソコン
Framework 13(第11/12/13世代)のリカバリーショートカットは:
Press intrusion switch → hold 2 s
Release → wait 2 s
(repeat the press/release cycle 10× while the machine is powered)
10回目のサイクルの後、ECはBIOSに次回の再起動時にNVRAMを消去するよう指示するフラグを設定します。この手順全体は約40秒かかり、ドライバー以外は何も必要ありません。
一般的な悪用手順
- ターゲットの電源を入れるか、サスペンドから復帰させてECを動作させます。
- 下部カバーを取り外して侵入/メンテナンススイッチを露出させます。
- ベンダー固有のトグルパターンを再現します(ドキュメント、フォーラムを参照するか、ECファームウェアをリバースエンジニアリングします)。
- 再組み立てて再起動します - ファームウェアの保護は無効化されるはずです。
- ライブUSB(例:Kali Linux)をブートし、通常のポストエクスプロイト(資格情報のダンプ、データの抽出、悪意のあるEFIバイナリの埋め込みなど)を実行します。
検出と緩和
- OS管理コンソールでシャーシ侵入イベントをログに記録し、予期しないBIOSリセットと相関させます。
- 開封を検出するために、ネジ/カバーに改ざん防止シールを使用します。
- デバイスを物理的に制御されたエリアに保管します;物理的アクセスは完全な侵害を意味すると仮定します。
- 利用可能な場合、ベンダーの「メンテナンススイッチリセット」機能を無効にするか、NVRAMリセットのために追加の暗号化認証を要求します。
参考文献
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。