이 질문이 중복되지 않는다고 생각하는 이유 : 이 사이트에는 잠긴 컴퓨터를 악용하는 것과 관련된 여러 질문이 있지만 대부분의 답변은 기본 구성에서 강화되지 않은 시스템을 악용하는 데 중점을 둡니다. 최근 몇 년 동안 암호화 및 하드웨어 + 소프트웨어 인증 (보안 부팅, bitlocker, 가상화, UEFI 등)이 크게 발전함에 따라 강화 된 랩톱의 위협 모델이 크게 달라졌으므로이를 다시 요청합니다. 다음 시나리오의 질문 :
기술적 가정 :
- 저는 최신 버전의 OS와 모든 드라이버가 업데이트 된 최신 Windows 10 Pro 노트북을 사용하고 있습니다.
- 노트북은 다음과 같은 인증 방법으로 잠겨 있습니다. 지문 판독기, 강력한 암호, 상당히 강력한 PIN (아마도 오프라인 무차별 대입에서 살아남지 못함).
- 내부 드라이브는 TPM을 사용하여 PIN이없는 Bitlocker로 암호화됩니다.
- UEFI는 암호로 보호되며 외부 드라이브에서 부팅하려면 UEFI 암호가 필요합니다. 네트워크 부팅이 비활성화되고 보안 부팅이 켜져 있습니다.
- 공격자와 동일한 네트워크에 연결되어 있습니다 (공격자가 네트워크를 소유 할 수도 있음).
- 노트북 활성화 된 Thunderbolt 3 포트가 있지만 연결된 장치를 수락하기 전에 사용자의 승인을 받아야합니다 (잠금 화면에서 가능하지 않아야 함).
- 노트북에는 내부에 무료 M.2 슬롯이 있습니다. , 분해 / 재 조립은 1 분 이내에 가능합니다.
공격자와 함께 어딘가에 앉아 있다고 가정하고 노트북을 잠그고 5 분 동안 나가십시오 , 공격자가 내 랩톱에 액세스 할 수 있습니까 (잠금 화면을 우회하거나 다른 방법을 사용하여 파일을 추출 (bitlocker 키 추출) , …)) 돌아 오기 전에 돌아온 후에도 의심스러운 것을 발견하지 않아야한다는 조건하에 돌아 오나요?
댓글
- 이 질문에 대한 답변이 있습니까? 공개 장소에 기기를 두었지만 잠금 상태로두면 어떤 위험이 있습니까?
- 그렇지 않습니다.-나 ' 내 가정이 거기에 언급 된 대부분의 공격을 막아야한다고 확신했습니다.
- ' 이가 귀하를 만족시킬 것이라는 의미는 아닙니다. 호기심. 나는 여전히 이전 자동 메시지에 익숙합니다. " $ foo의 중복 가능성 " . 즉, 세부 사항이 충분히 다르다고 생각하더라도 상단 및 수락 된 답변의 처음 두 문장이이 질문에 전적으로 완전하게 적용됩니다. 감독되지 않은 물리적 액세스가있는 경우 ' 더 이상 안전하지 않습니다. 물리적 보안이 없으면 다른 모든 infosec 조치는 문제가됩니다.
- @Ghedipunk이 만트라는 제가 '이 질문을하는 이유입니다. '이 작업이 여러 번 반복되는 것을 보았지만 지난 몇 년간 노트북의 물리적 보안 모델이 많이 변경 되었기 때문에 ' 완벽하게 유지 될 것이라고 확신하지 못합니다. 더 이상.
- 이것은 새로운 학술 연구의 영역으로 넘어갑니다. 우리는 ' 여기에서 부정적인 것을 증명할 수 없습니다. ' 주 수준 액터가 ' 노트북 브랜드 '의 확장 포트에 직접 연결할 수있는 장치가 없으며, 직접 북쪽 버스 또는 PCI 버스 액세스를 얻고, 멀웨어를 RAM에 직접 주입 할 수 있습니다. 노트북이 잠금 해제 되 자마자 부팅 ROM에 주입됩니다. 여기에서 반복하는 진언보다 더 최신의 답변을 원하신다면, 피어 리뷰 저널을 살펴보고 여기에 기사를 제출하는 연구원과 대화를 나누시기 바랍니다.
답변
귀하가 설명하는 것은 Evil Maid 공격입니다.이 시나리오에서 액세스 권한을 얻는 방법에는 여러 가지가 있지만 주요 방법은 DMA입니다. .
M.2는 IOMMU가이를 방지하도록 구성되어 있지 않다고 가정 할 때 DMA를 통해 시스템 메모리에 직접적이고 완전한 액세스를 제공하며, 이는 거의 확실하게 직접 PCI- e 링크. ExpressCard 슬롯이있는 경우에도 마찬가지입니다.이를위한 도구 세트 중 하나는 PCILeech 입니다.이 도구 세트는 다음없이 시스템에서 처음 4GB의 메모리를 덤프 할 수 있습니다. 설치된 모든 OS 상호 작용 또는 드라이버 및 드라이버가 처음 설치된 경우 모든 메모리
두 인터페이스 모두 DMA를 지원하기 때문에 랩톱에 Thunderbolt 또는 USB-C가있는 경우에도 잠재적으로 가능합니다.일반적으로 이러한 인터페이스는 현재 IOMMU를 사용하는 임의의 DMA를 방지하기 위해 펌웨어 및 드라이버에 강화 기능을 포함하는 경향이 있지만이 보호는 “완벽하거나 보편적이지 않으며 몇 가지 문제가있었습니다 (예 : Thunderclap )을 통해 공격자가 일부 하드웨어에서 IOMMU를 우회 할 수 있습니다.
가상화 기반 보안 (VBS) 및 Windows Credential Guard (WCG)를 활성화하는 것이 좋습니다. 전체 OS를 Hyper-V 하이퍼 바이저에 넣고 대부분의 LSASS 서비스 (자격 증명을 캐시 함)를 격리 된 가상 머신으로 이동합니다. 현재 공격자가 캐시 된 데이터를 복구 할 수있는 툴킷은 거의 없습니다. 비대화 형 메모리 덤프를 사용하는 WCG 엔 클레이브의 BitLocker 마스터 암호화 키입니다. 또한 Device Guard 및 KMCI / HVCI를 활성화 할 수 있으므로 공격자가 일회성 DMA에서 시스템에 대한 지속성을 확보하기가 매우 어렵습니다. 공격.
댓글
- 멋진 답변입니다. 감사합니다! M.2 PCIe 장치를 연결하려면 랩톱을 다시 시작해야한다고 가정하는 것이 맞습니까?-> RAM을 지우면 새로 부팅 된 시스템에서 Bitlocker 키 추출이 유일한 실행 가능한 공격으로 남습니다.
- '는 개별 하드웨어 및 펌웨어에 있습니다. 일반적으로 M.2 핫 플러그는 소비자 기기에서 ' 작동하지 않지만 워크 스테이션 및 서버 시스템에서 더 자주 나타납니다. ExpressCard는 핫 플러그 용으로 설계 되었기 때문에 작동합니다. 운이 좋으면 예비 PCIe 슬롯 (노트북 WiFi 모듈이 자주 사용하는 미니 PCIe 포함)도 일부 모델에서 작동합니다. 하지만 할 수있는 한 가지 트릭은 노트북을 잠자기 상태로 유지하고 M.2 또는 PCIe 카드를 연결 한 다음 깨우는 것입니다. 그러면 전원을 끄거나 메모리를 지우지 않고도 다시 열거가 실행됩니다.
- 몇 가지 더 있습니다. 질문 : 1. 어떻게 악성 pcie 장치가 메모리를 직접 읽을 수 있습니까? 모든 메모리 액세스가 IOMMU를 통과하고 OS가 요청 된 페이지를 명시 적으로 매핑해야한다고 생각했습니다. 2. 가상화는 어떻게 bitlocker 키 추출을 방지합니까? ' 키가 여전히 다른 위치에 메모리에 저장되어 있지 않습니까?
- 실제 OS는 PCI-e에서 DMA를 차단하도록 IOMMU를 구성하지 않습니다. 호환성을 위해 4GB 경계 미만의 장치. 장치는 해당 페이지가 매핑 가능하도록 요청할 수 있으며 OS가 의무를집니다. VBS / WCG는 키를 읽을 수 없다는 것을 ' 보장 하지 않으며 ' 단지 더 어렵게 만듭니다. 현재로서는 ' 새로운 기능이고 메모리 포렌식 툴킷이 ' 아직 따라 잡지 못했기 때문입니다.
- 내 노트북의 PCIe 주변 장치 만 1. NVMe SSD 드라이브, 2. 최신 Intel WiFi 카드이거나 PCIe / IOMMU 표준의 일부를 위반하는 경우 Windows를 재구성하여 이러한 매핑을 지우는 것이 가능합니까?
답변
많은 보안 상황과 마찬가지로 “상황에 따라 다릅니다”. “강력한 공격자의 표적이 아니고”위험한 물리적 접근 “에 대한 정의에서 모든 종류의 고의적 인 물리적 손상 (일부는 돌아올 때 보이지 않음)이 제외된다면 괜찮을 수 있습니다. 당신이 표적이거나 “위험한”의 정의에 물리적 손상이 포함되어 있다는 것은 확실히 위험합니다.
가능한 위협을 이해하려면 다음 두 가지를 정의해야합니다.
-
위협으로 간주되는 것은 무엇입니까? “위험”이라고 만 언급했지만 매우 모호합니다. 누군가가 귀하의 노트북을 똑같은 위험으로 보이는 동일한 모델로 교체 하시겠습니까? 다른 노트북이 모든 입력 된 암호를 전송하도록 구성되어있을 수 있습니다. , “지문이 로그인되지 않을 때 입력해야합니다.”노트북에 로그인하는 데 사용되는 지문 판독기에서 데이터를 보낼 수도 있습니다. 이것은 국가 국가의 것입니다. 하지만 SuperGlue를 노트북 HDMI / USB 슬롯에 넣으면 위험할까요? 아니면 하드 드라이브를 훔쳐 노트북이 화면이 꺼진 상태로 잠겨있는 경우 반환시 눈에 띄지 않음)?
-
위협 행위자는 누구입니까? 국가 국가와 같은 강력한 공격자는 암호 해독 키를 포함하여 잠긴 랩톱 메모리를 덤프 할 수있는 도구를 가지고있을 수 있습니다 ( “잠김”정의 방법에 따라 다름). 중요한 데이터를 스니핑하거나 기능을 방해하는 하드웨어를 내부에 추가 할 수 있습니다. 모든 것을 미리 준비한 강력한 공격자가 짧은 시간에이 작업을 수행 할 수 있습니다.
마지막으로 “악당이 귀하의 컴퓨터에 액세스했다면 더 이상 컴퓨터 “에는 많은 진실이 있습니다. 그러나 “나쁜 놈들”은 그들의 의도와 힘이 다릅니다. 따라서 귀하의 컴퓨터를 1 년 동안 보유한 NSA조차도 귀하가 목표가 아니라고 판단하면 아무런 조치도 취하지 않을 수 있습니다.