Взламываем PC

MRXX

Новорег
3 Дек 2018
9
3
3
Взламываем PC
September 23, 2018
Как заморозить компьютер и украсть все данные


Привет, Аноним. Сегодня будет необычная статья, в которой рассмотрим новую вариацию атаки cold boot. На данный момент перед ней не могут устоять все компьютеры мира с одной маленькой особенностью — физический доступ. С помощью "метода холодной перезагрузки" можно похитить разные данные, включая информацию на зашифрованных накопителях. Правда круто? Когда сотни миллионов долларов потраченные на защиты просто нервно "курят" в сторонке, а ты получаешь свои логины и пароли за 2 минут.
Cold boot атака — вектор атаки, который впервые появился в 2008 году. Простыми словами, атака side-channel требует наличие физического доступа к устройству, после чего производиться перезагрузка и выключение с получением информации с модулей памяти. Дело в том, что после отключения питания данные в ОЗУ типа DRAM и SRAM сохраняются на протяжении некоторого времени. Можно извлечь пароли, ключи шифрования, учетные данные от корпоративных сетей и другую ценную информацию.
Не смотря на то, что никто не рассматривает cold boot атаки потенциально серьезными, они имеют высокую эффективность. Некоторые компании пытались оптимизировать свои устройства, чтобы избежать этой уязвимости, но не так все просто. Единственный способ защиты — принудительная перезапись содержимого ОЗУ после холодной перезагрузки не решает проблемы. Тем самым оставляет под прицелом сотни тысяч потенциальных жертв среди компаний и крупных корпораций. Но не так давно, эксперты F-Secure сообщили, что обошли и эту защиту.

Схема работы cold boot атак
И так, уже всем понятно, что нужен физический доступ. Правда наши эксперты не говорят, что у них там за специальное оборудование для извлечения данных, но я думаю, что скоро это будет известно. Далее необходимо провести холодную перезагрузку и извлечь данные.
Энтузиасты утверждают, что абсолютно все компьютеры, включая крупнейших производителей Microsoft, Intel и Apple подвержены данному виду атак. Чтобы не пустословить, ребята показали, как это сделать на самом деле и извлекли необходимые данные за две минуты. Именно столько времени понадобилось чтобы получить необходимый пароль. Ролик можно посмотреть по ссылке.


Извлечение полученного пароля
Специалисты F-Secure утверждают, что это не самая сложная задача. Поэтому она доступна и другим пользователям. Это хорошая удочка для ловли крупной рыбы, среди которых банки, большие компании, а также крупные корпорации. Поэтому нужно быть внимательным и готовым к реализации такой атаки.
Некоторые крупные компании уже успели отреагировать. Конечно, они все написали официальные выводы, что мол все хорошо, пользуйтесь и будет вам счастье. Как например, заявили в Apple, что наши чипы Т2 вне опасности, но то, что они установлены только на iMac Pro и MacBook Pro после 2018 года никого не интересует. Все остальное можно ломать, без проблем.
В Microsoft быстро отреагировали и обновили руководство для BitLocker. Только они наверное не догадываются, что мало кто его будет читать до того, как данные украдут. Я уже вижу, как все офисные сотрудники начали шифровать свои диски и настраивать супер защиту. А системные администраторы начали проводить многотысячные тренинги по обучению персонала) Специалисты Intel пока не знают, что даже обновить или написать. Пока только отмалчиваются.
Единственная рекомендация по поводу защиты на данный момент — настраивать машину сразу на выключение или в режим гибернации. Так как режим "Сна" является небезопасным. Потому что атака реализуется на все 100% только в режиме "Sleep mode". Для пользователей Windows рекомендуется вводить BitLocker PIN после выключения и подачи питания.
Чтобы снять RAM образ памяти и проанализровать можно воспользоваться специальным софтом.
Для Windows
Для этого можно воспользоваться бесплатной программой Belkasoft RAM Capturer. С ее помощи можно быстро снять отпечаток и использовать для дальнейшего анализа. Анализ дампа рекомендую проводить через Forensic Framework Volatility.

Belkasoft RAM CapturerДля Linux
Для линукса существует утилита LiME. Использовать ее нужно с под командной строки. На выходе получаем в корне папки файл image.lime. Это и является нашим дампом. Команды для запуска:
git clone 504ensicsLabs/LiME
cd LiME/src/
make
insmod lime.ko "path=image.mem format=raw"

Вывод
Как бы не старались компании и специалисты по информационной безопасности, всегда будут новые векторы атак, которые будут открывать двери в мир информации и конфиденциальных данных. Поэтому нужно быть готовым к всему и даже к тому, что неизвестно. Данный способ демонстрируется, что все парольные защиты, режимы шифрования и прочее абсолютно не нужно, чтобы скопировать чувствительные данные за две минут.
 

NikeFit7777

4
 
Последнее редактирование модератором: