Фізичні атаки

Відновлення пароля BIOS та безпека системи

Скидання BIOS можна здійснити кількома способами. Більшість материнських плат містять батарею, яка, коли її зняти на приблизно 30 хвилин, скине налаштування BIOS, включаючи пароль. Альтернативно, перемичка на материнській платі може бути відрегульована для скидання цих налаштувань шляхом з'єднання певних контактів.

У ситуаціях, коли апаратні зміни неможливі або не практичні, програмні інструменти пропонують рішення. Запуск системи з Live CD/USB з дистрибутивами, такими як Kali Linux, надає доступ до інструментів, таких як killCmos та CmosPWD, які можуть допомогти у відновленні пароля BIOS.

У випадках, коли пароль BIOS невідомий, неправильне введення його три рази зазвичай призводить до коду помилки. Цей код можна використовувати на вебсайтах, таких як https://bios-pw.org, щоб потенційно отримати придатний пароль.

Безпека UEFI

Для сучасних систем, що використовують UEFI замість традиційного BIOS, інструмент chipsec може бути використаний для аналізу та зміни налаштувань UEFI, включаючи вимкнення Secure Boot. Це можна зробити за допомогою наступної команди:

python chipsec_main.py -module exploits.secure.boot.pk

Аналіз RAM та атаки холодного завантаження

RAM зберігає дані короткий час після відключення живлення, зазвичай 1-2 хвилини. Цю стійкість можна продовжити до 10 хвилин, застосовуючи холодні речовини, такі як рідкий азот. Протягом цього розширеного періоду можна створити дамп пам'яті за допомогою інструментів, таких як dd.exe та volatility для аналізу.

Атаки прямого доступу до пам'яті (DMA)

INCEPTION - це інструмент, призначений для фізичної маніпуляції пам'яттю через DMA, сумісний з інтерфейсами, такими як FireWire та Thunderbolt. Він дозволяє обійти процедури входу, модифікуючи пам'ять для прийняття будь-якого пароля. Однак він неефективний проти систем Windows 10.

Live CD/USB для доступу до системи

Зміна системних бінарних файлів, таких як sethc.exe або Utilman.exe, на копію cmd.exe може надати командний рядок з системними привілеями. Інструменти, такі як chntpw, можна використовувати для редагування файлу SAM Windows-інсталяції, що дозволяє змінювати паролі.

Kon-Boot - це інструмент, який полегшує вхід у системи Windows без знання пароля, тимчасово модифікуючи ядро Windows або UEFI. Більше інформації можна знайти на https://www.raymond.cc.

Обробка функцій безпеки Windows

Гарячі клавіші для завантаження та відновлення

• Supr: Доступ до налаштувань BIOS.
• F8: Вхід у режим відновлення.
• Натискання Shift після банера Windows може обійти автологін.

BAD USB пристрої

Пристрої, такі як Rubber Ducky та Teensyduino, слугують платформами для створення поганих USB пристроїв, здатних виконувати попередньо визначені навантаження при підключенні до цільового комп'ютера.

Копія тіней томів

Привілеї адміністратора дозволяють створювати копії чутливих файлів, включаючи файл SAM, через PowerShell.

Обхід шифрування BitLocker

Шифрування BitLocker може бути потенційно обійдено, якщо відновлювальний пароль знайдено в дампі пам'яті (MEMORY.DMP). Для цього можна використовувати інструменти, такі як Elcomsoft Forensic Disk Decryptor або Passware Kit Forensic.

Соціальна інженерія для додавання ключа відновлення

Новий ключ відновлення BitLocker можна додати за допомогою тактик соціальної інженерії, переконуючи користувача виконати команду, яка додає новий ключ відновлення, що складається з нулів, спрощуючи процес розшифровки.

Використання перемикачів вторинного доступу / обслуговування для скидання BIOS до заводських налаштувань

Багато сучасних ноутбуків та настільних комп'ютерів малого форм-факту містять перемикач вторинного доступу, який контролюється Вбудованим контролером (EC) та прошивкою BIOS/UEFI. Хоча основна мета перемикача - підняти тривогу, коли пристрій відкрито, постачальники іноді реалізують недокументовану комбінацію для відновлення, яка спрацьовує, коли перемикач перемикається в певному порядку.

Як працює атака

1. Перемикач підключений до GPIO переривання на EC.
2. Прошивка, що працює на EC, відстежує час та кількість натискань.
3. Коли розпізнається жорстко закодований шаблон, EC викликає рутину mainboard-reset, яка стирає вміст системної NVRAM/CMOS.
4. При наступному завантаженні BIOS завантажує значення за замовчуванням – пароль адміністратора, ключі Secure Boot та всі користувацькі налаштування очищаються.

Як тільки Secure Boot вимкнено, а пароль прошивки зник, зловмисник може просто завантажити будь-який зовнішній образ ОС і отримати необмежений доступ до внутрішніх дисків.

Приклад з реального життя – Ноутбук Framework 13

Комбінація для відновлення для Framework 13 (11-го/12-го/13-го покоління) така:

Press intrusion switch  →  hold 2 s
Release                 →  wait 2 s
(repeat the press/release cycle 10× while the machine is powered)

Після десятого циклу EC встановлює прапорець, який інструктує BIOS стерти NVRAM при наступному перезавантаженні. Вся процедура займає ~40 с і вимагає лише викрутки.

Загальна Процедура Експлуатації

1. Увімкніть або призупиніть-оновіть ціль, щоб EC працював.
2. Зніміть нижню кришку, щоб отримати доступ до перемикача вторгнення/обслуговування.
3. Відтворіть специфічний для постачальника шаблон перемикання (консультуйтеся з документацією, форумами або зворотним інженеруванням прошивки EC).
4. Зберіть назад і перезавантажте – захисти прошивки повинні бути вимкнені.
5. Завантажте живий USB (наприклад, Kali Linux) і виконайте звичайні дії після експлуатації (витягування облікових даних, ексфільтрація даних, впровадження шкідливих EFI бінарників тощо).

Виявлення та Пом'якшення

• Логування подій вторгнення в шасі в консолі управління ОС та кореляція з несподіваними скиданнями BIOS.
• Використовуйте пломби, що вказують на несанкціоноване відкриття на гвинтах/кришках для виявлення відкриття.
• Тримайте пристрої в фізично контрольованих зонах; вважайте, що фізичний доступ дорівнює повному компромісу.
• Де це можливо, вимкніть функцію "скидання перемикача обслуговування" постачальника або вимагайте додаткову криптографічну авторизацію для скидань NVRAM.

Посилання

• Pentest Partners – “Framework 13. Press here to pwn”
• FrameWiki – Посібник з скидання материнської плати