maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/hardware-physical-access/physical-attacks.md

117 lines
11 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Фізичні атаки
{{#include ../banners/hacktricks-training.md}}
## Відновлення пароля BIOS та безпека системи
**Скидання BIOS** можна здійснити кількома способами. Більшість материнських плат містять **батарею**, яка, коли її зняти на приблизно **30 хвилин**, скине налаштування BIOS, включаючи пароль. Альтернативно, **перемичка на материнській платі** може бути відрегульована для скидання цих налаштувань шляхом з'єднання певних контактів.
У ситуаціях, коли апаратні зміни неможливі або не практичні, **програмні інструменти** пропонують рішення. Запуск системи з **Live CD/USB** з дистрибутивами, такими як **Kali Linux**, надає доступ до інструментів, таких як **_killCmos_** та **_CmosPWD_**, які можуть допомогти у відновленні пароля BIOS.
У випадках, коли пароль BIOS невідомий, неправильне введення його **три рази** зазвичай призводить до коду помилки. Цей код можна використовувати на вебсайтах, таких як [https://bios-pw.org](https://bios-pw.org), щоб потенційно отримати придатний пароль.
### Безпека UEFI
Для сучасних систем, що використовують **UEFI** замість традиційного BIOS, інструмент **chipsec** може бути використаний для аналізу та зміни налаштувань UEFI, включаючи вимкнення **Secure Boot**. Це можна зробити за допомогою наступної команди:
```bash
python chipsec_main.py -module exploits.secure.boot.pk
```
---
## Аналіз RAM та атаки холодного завантаження
RAM зберігає дані короткий час після відключення живлення, зазвичай **1-2 хвилини**. Цю стійкість можна продовжити до **10 хвилин**, застосовуючи холодні речовини, такі як рідкий азот. Протягом цього розширеного періоду можна створити **дамп пам'яті** за допомогою інструментів, таких як **dd.exe** та **volatility** для аналізу.
---
## Атаки прямого доступу до пам'яті (DMA)
**INCEPTION** - це інструмент, призначений для **фізичної маніпуляції пам'яттю** через DMA, сумісний з інтерфейсами, такими як **FireWire** та **Thunderbolt**. Він дозволяє обійти процедури входу, модифікуючи пам'ять для прийняття будь-якого пароля. Однак він неефективний проти систем **Windows 10**.
---
## Live CD/USB для доступу до системи
Зміна системних бінарних файлів, таких як **_sethc.exe_** або **_Utilman.exe_**, на копію **_cmd.exe_** може надати командний рядок з системними привілеями. Інструменти, такі як **chntpw**, можна використовувати для редагування файлу **SAM** Windows-інсталяції, що дозволяє змінювати паролі.
**Kon-Boot** - це інструмент, який полегшує вхід у системи Windows без знання пароля, тимчасово модифікуючи ядро Windows або UEFI. Більше інформації можна знайти на [https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/).
---
## Обробка функцій безпеки Windows
### Гарячі клавіші для завантаження та відновлення
- **Supr**: Доступ до налаштувань BIOS.
- **F8**: Вхід у режим відновлення.
- Натискання **Shift** після банера Windows може обійти автологін.
### BAD USB пристрої
Пристрої, такі як **Rubber Ducky** та **Teensyduino**, слугують платформами для створення **поганих USB** пристроїв, здатних виконувати попередньо визначені навантаження при підключенні до цільового комп'ютера.
### Копія тіней томів
Привілеї адміністратора дозволяють створювати копії чутливих файлів, включаючи файл **SAM**, через PowerShell.
---
## Обхід шифрування BitLocker
Шифрування BitLocker може бути потенційно обійдено, якщо **відновлювальний пароль** знайдено в дампі пам'яті (**MEMORY.DMP**). Для цього можна використовувати інструменти, такі як **Elcomsoft Forensic Disk Decryptor** або **Passware Kit Forensic**.
---
## Соціальна інженерія для додавання ключа відновлення
Новий ключ відновлення BitLocker можна додати за допомогою тактик соціальної інженерії, переконуючи користувача виконати команду, яка додає новий ключ відновлення, що складається з нулів, спрощуючи процес розшифровки.
---
## Використання перемикачів вторинного доступу / обслуговування для скидання BIOS до заводських налаштувань
Багато сучасних ноутбуків та настільних комп'ютерів малого форм-факту містять **перемикач вторинного доступу**, який контролюється Вбудованим контролером (EC) та прошивкою BIOS/UEFI. Хоча основна мета перемикача - підняти тривогу, коли пристрій відкрито, постачальники іноді реалізують **недокументовану комбінацію для відновлення**, яка спрацьовує, коли перемикач перемикається в певному порядку.
### Як працює атака
1. Перемикач підключений до **GPIO переривання** на EC.
2. Прошивка, що працює на EC, відстежує **час та кількість натискань**.
3. Коли розпізнається жорстко закодований шаблон, EC викликає рутину *mainboard-reset*, яка **стирає вміст системної NVRAM/CMOS**.
4. При наступному завантаженні BIOS завантажує значення за замовчуванням **пароль адміністратора, ключі Secure Boot та всі користувацькі налаштування очищаються**.
> Як тільки Secure Boot вимкнено, а пароль прошивки зник, зловмисник може просто завантажити будь-який зовнішній образ ОС і отримати необмежений доступ до внутрішніх дисків.
### Приклад з реального життя Ноутбук Framework 13
Комбінація для відновлення для Framework 13 (11-го/12-го/13-го покоління) така:
```text
Press intrusion switch → hold 2 s
Release → wait 2 s
(repeat the press/release cycle 10× while the machine is powered)
```
Після десятого циклу EC встановлює прапорець, який інструктує BIOS стерти NVRAM при наступному перезавантаженні. Вся процедура займає ~40 с і вимагає **лише викрутки**.
### Загальна Процедура Експлуатації
1. Увімкніть або призупиніть-оновіть ціль, щоб EC працював.
2. Зніміть нижню кришку, щоб отримати доступ до перемикача вторгнення/обслуговування.
3. Відтворіть специфічний для постачальника шаблон перемикання (консультуйтеся з документацією, форумами або зворотним інженеруванням прошивки EC).
4. Зберіть назад і перезавантажте захисти прошивки повинні бути вимкнені.
5. Завантажте живий USB (наприклад, Kali Linux) і виконайте звичайні дії після експлуатації (витягування облікових даних, ексфільтрація даних, впровадження шкідливих EFI бінарників тощо).
### Виявлення та Пом'якшення
* Логування подій вторгнення в шасі в консолі управління ОС та кореляція з несподіваними скиданнями BIOS.
* Використовуйте **пломби, що вказують на несанкціоноване відкриття** на гвинтах/кришках для виявлення відкриття.
* Тримайте пристрої в **фізично контрольованих зонах**; вважайте, що фізичний доступ дорівнює повному компромісу.
* Де це можливо, вимкніть функцію "скидання перемикача обслуговування" постачальника або вимагайте додаткову криптографічну авторизацію для скидань NVRAM.
---
## Посилання
- [Pentest Partners “Framework 13. Press here to pwn”](https://www.pentestpartners.com/security-blog/framework-13-press-here-to-pwn/)
- [FrameWiki Посібник з скидання материнської плати](https://framewiki.net/guides/mainboard-reset)
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink