Physical Attacks

BIOS-Passwort-Wiederherstellung und Systemschutz

BIOS-Reset

Das Zurücksetzen des BIOS ist auf verschiedene Arten möglich. Die meisten Mainboards verfügen über eine Batterie, die, wenn sie für etwa 30 Minuten entfernt wird, die BIOS-Einstellungen einschließlich des Passworts zurücksetzt. Alternativ kann ein Jumper auf dem Mainboard so eingestellt werden, dass durch das Verbinden bestimmter Pins die Einstellungen zurückgesetzt werden.

Falls hardwareseitige Anpassungen nicht möglich oder praktisch sind, bieten Softwaretools eine Lösung. Der Einsatz eines Live-CD/USB-Systems, beispielsweise mit Kali Linux, ermöglicht den Zugriff auf Tools wie killCmos und CmosPWD, die bei der Wiederherstellung des BIOS-Passworts helfen können.

Wenn das BIOS-Passwort unbekannt ist, führt das dreimalige fehlerhafte Eingeben in der Regel zu einem Fehlercode. Dieser Code kann auf Websites wie https://bios-pw.org eingegeben werden, um möglicherweise ein verwendbares Passwort zu erhalten.

UEFI-Sicherheit

Moderne Systeme verwenden anstelle des traditionellen BIOS UEFI. Mit dem Tool chipsec können UEFI-Einstellungen analysiert und geändert werden, einschließlich der Deaktivierung von Secure Boot. Dies kann mit folgendem Befehl erreicht werden:

bashCode kopierenpython chipsec_main.py -module exploits.secure.boot.pk

RAM-Analyse und Cold-Boot-Angriffe

RAM speichert Daten für kurze Zeit nach dem Ausschalten des Geräts, normalerweise für 1 bis 2 Minuten. Durch die Anwendung von Kältemitteln wie Flüssigstickstoff kann diese Persistenz auf 10 Minuten verlängert werden. Während dieser verlängerten Zeitspanne kann mit Tools wie dd.exe und volatility ein Speicherabbild erstellt und analysiert werden.

Direct Memory Access (DMA) Angriffe

INCEPTION ist ein Tool, das für die Manipulation des physischen Speichers über DMA entwickelt wurde und mit Schnittstellen wie FireWire und Thunderbolt kompatibel ist. Es ermöglicht das Umgehen von Login-Prozeduren, indem es den Speicher so manipuliert, dass jedes Passwort akzeptiert wird. Allerdings ist es bei Windows 10-Systemen wirkungslos.

Live-CD/USB für Systemzugriff

Durch das Ersetzen von Systembinaries wie sethc.exe oder Utilman.exe durch eine Kopie von cmd.exe kann ein Befehlsfenster mit Systemrechten geöffnet werden. Mit Tools wie chntpw kann die SAM-Datei einer Windows-Installation bearbeitet werden, um Passwörter zu ändern.

Kon-Boot ist ein Tool, das das Einloggen in Windows-Systeme ohne Kenntnis des Passworts ermöglicht, indem es vorübergehend den Windows-Kernel oder UEFI modifiziert. Weitere Informationen finden Sie auf https://www.raymond.cc.

Umgang mit Windows-Sicherheitsfunktionen

Boot- und Wiederherstellungs-Shortcuts

• Supr: Zugriff auf die BIOS-Einstellungen.

• F8: Aufrufen des Wiederherstellungsmodus.

• Durch Drücken der Shift-Taste nach dem Windows-Banner kann der Autologon umgangen werden.

BAD USB-Geräte

Geräte wie Rubber Ducky und Teensyduino dienen als Plattformen zur Erstellung von Bad USB-Geräten, die bei Verbindung mit einem Zielcomputer vorab definierte Payloads ausführen können.

Volume Shadow Copy

Mit Administratorrechten können Kopien sensibler Dateien, einschließlich der SAM-Datei, über PowerShell erstellt werden.

BitLocker-Verschlüsselung umgehen

Die BitLocker-Verschlüsselung kann möglicherweise umgangen werden, wenn das Wiederherstellungskennwort in einer Speicherabbilddatei (MEMORY.DMP) gefunden wird. Tools wie Elcomsoft Forensic Disk Decryptor oder Passware Kit Forensic können hierfür verwendet werden.

Social Engineering zur Hinzufügung eines Wiederherstellungsschlüssels

Ein neuer BitLocker-Wiederherstellungsschlüssel kann durch Social Engineering hinzugefügt werden, indem ein Benutzer überzeugt wird, einen Befehl auszuführen, der einen neuen Wiederherstellungsschlüssel aus Nullen hinzufügt, wodurch der Entschlüsselungsprozess vereinfacht wird.