博雯 发自 凹非寺量子位 报道 | 公众号 QbitAI 工作电脑被偷的30分钟后 ， 公司内网就进人了 。
不仅拥有活动目录上的基本特权 ， 还能在内部文件中来去自如！
可我那保护重重的Windows防火墙呢？
我那可以生成和存储各种密钥的TPM芯片呢？

文章插图
黑客到底是怎么越过这些阻碍的？
绕过TPM 好 ， 现在请出我们的受害者——
一台Windows 10系统的联想笔记本电脑 。
使用的是微软的BitLocker ， 通过微软的可信平台模块（TPM）加密 。
这时 ， 要取驱动器解密密钥进而入侵内网 ， 就需要从TPM入手：


文章插图
不过这是一种结构高度复杂 ， 且含有许多篡改检测和保护的硬件 。直接攻击可能会花费大量时间 。
因此 ， 我们可以一下TPM周围的依赖关系和内容 。
比如……并没有使用TPM 2.0标准的加密通信特性的BitLocker 。
这意味着从TPM发出的数据都是以明文形式游走在SPI总线上的 ， 包括Windows的解密密钥 。
如果能抓住那个密钥 ， 就能够解密驱动器 ， 获得VPN客户端配置的访问权限 ， 进而有访问内部网络的可能 。
可现在问题又来了 。
要抓取SPI总线上的数据 ， 就要将引线或探针连接到TPM的引脚上 。
而这个“引脚”只有0.25毫米宽 ， 0.5毫米间隔 ， 还是一个平放在芯片面上 ， 难以用物理方式连接的伪引脚 。
那有没有更大 ， 更好连接的呢？
还真有：


文章插图
这是与TPM共享一个SPI总线的CMOS芯片 ， 它的引脚非常清晰分明 。
好 ， Saleae逻辑分析仪 ， 连接！


文章插图
从预登陆功能的“后门”入侵 现在 ， 探测仪已经连接 ， 开始启动电脑 。
我们现在需要在数以百万计的SPI字节中 ， 找到一个正在被发送的BitLocker解密密钥 。
先用高级分析器（HLA）进行事务分析：


文章插图
经过几天的故障排除和比较之后 ， 我们发现了TPM命令包的不同位掩码的组合 ， 以及用于寻找密钥的不同正则表达式 。
再用bitlocker-spi-toolkit解析这些请求 ， 钥匙就拿到了！


文章插图
接下来让我们用钥匙解密固盘（SSD） ， 看看里面到底有什么 。
拔出固态硬盘 ， 安装在一个适配器上 ， 然后插上：


文章插图
在做了一个磁盘镜像之后 ， 我们使用Dislocker工具集来解密驱动器 。
此外 ， 我们还发现了正在使用的VPN客户端: Palo Alto的全球保护（GP） 。
GP有一项预登陆（Pre-logon）功能 ， 会对端点（而不是用户）进行身份验证 ， 并允许域脚本或其他任务在端点启动后立即运行 。
这样 ， 我们就可以使用粘滞键后门（Sticky Keys Backdoor） ， 在不需要任何凭证的的前下访问VPN 。
有了后门访问之后 ， 我们需要将解密后的Windows映像引导为虚拟机 。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：

• 访问局域网的2种方法 如何使用端口访问局域网电脑
• 黑户是什么意思
• 是不是台湾老大人怎么样 柯受良是黑社会吗
• 棕色衣服显黑还是显白 棕色显黑还是显白
• 黑马时尚健身俱乐部预售中....
• 耐克男运动鞋正品价格 耐克鞋贵吗
• 儿童正常痣的样子图片 儿童身上不断长小黑痣
• 黑芝麻糊的做法 喝黑芝麻糊的三大好处
• 小黑虫是什么虫 小黑虫简单介绍
• 魔兽世界:哪里有更多的真银矿和黑铁矿？ 真银矿石哪里多