Metode dump memori untuk melewati BitLocker di Windows 11

 (noinitrd.github.io)
2 poin oleh GN⁺ 2025-01-01 | 1 komentar | Bagikan ke WhatsApp

  • Pengantar

    • Artikel ini menjelaskan cara melewati enkripsi BitLocker di Windows 11 (versi 24H2). Hal ini dilakukan dengan mengekstrak Full Volume Encryption Key (FVEK) dari memori.

  • Latar belakang

    • Jika penyerang dapat mengakses perangkat secara fisik, mereka dapat memulai ulang komputer secara mendadak dan melakukan dump RAM dari instance Windows yang baru saja berjalan untuk memperoleh informasi sensitif.
    • Isi RAM akan cepat rusak saat daya diputus, sehingga ada metode seperti mendinginkan RAM secara fisik atau menggunakan sumber daya eksternal untuk mencegah hal ini.
    • Secure Boot adalah standar keamanan yang membatasi apa yang dapat dijalankan saat perangkat dinyalakan, tetapi ada cara untuk melewatinya.

  • Langkah 1: Membuat perangkat USB yang dapat di-boot

    • Anda perlu menyiapkan perangkat penyimpanan USB yang kapasitasnya lebih besar daripada RAM pada sistem target.
    • Gunakan skrip flashimage.sh untuk membuat dan menggunakan aplikasi yang dapat di-boot.

  • Langkah 2: Memulai ulang sistem target secara mendadak

    • Tujuannya adalah meminimalkan lamanya komputer benar-benar mati total.
    • Saat Windows sedang dimuat, memulai ulang sistem sebelum layar login muncul adalah cara yang efektif.

  • Langkah 3: Boot dari perangkat USB

    • Segera boot dari perangkat USB ke Memory-Dump-UEFI untuk mencapai shell UEFI.
    • Jalankan app.efi untuk membuat dump memori.

  • Langkah 4: Analisis dump

    • Karena batas ukuran file 4GB pada sistem file FAT32, beberapa dump mungkin akan dibuat.
    • Program concatDumps dapat digunakan untuk menggabungkan beberapa dump menjadi satu.
    • Program searchMem dapat digunakan untuk mencari pola tertentu di dalam dump.

  • Pool tag

    • Pool tag adalah pengenal 4 karakter yang menunjukkan lokasi pool memori kernel Windows.
    • File pooltag.txt berisi berbagai pool tag dan tujuannya.

  • Pemulihan kunci FVEK

    • Kunci FVEK dapat ditemukan di bawah pool tag dFVE, yang terkait dengan filter crash dump Full Volume Encryption untuk enkripsi drive BitLocker.
    • Kunci juga dapat ditemukan di bawah tag None.

  • Langkah berikutnya

    • Anda perlu menambahkan algoritme yang digunakan pada kunci yang diperoleh.
    • Alat dislocker dapat digunakan untuk membuka kunci drive.

  • Catatan akhir

    • Untuk memahami implementasi BitLocker, cara terbaik adalah melakukan debugging pada level kernel.
    • Microsoft berupaya menghancurkan kunci, tetapi tidak berhasil menghancurkan semuanya.

Bacaan terkait

1 komentar

 
GN⁺ 2025-01-01
Komentar Hacker News

  • BitLocker memberi manfaat terbesar saat digunakan bersama TPM (PCR 7+11) dan PIN. Tanpa PIN, FVEK tidak bisa dibaca, dan jika ada terlalu banyak percobaan PIN yang salah, TPM akan beralih ke mode penguncian serangan kamus

    • Sedang mencoba pengaturan serupa di Linux, dan karena systemd-cryptsetup/cryptenroll khusus untuk LUKS, saya berencana mengenkripsi direktori sensitif dengan fscrypt
    • TPM sangat sulit saat mencoba mengimplementasikan sesuatu di luar hal-hal dasar
    • Ini sedang dikerjakan sebagai proyek pribadi, dan saya akan menulisnya setelah selesai

  • Saya tidak memahami model keamanan BitLocker. Pada sebagian besar instalasi, cukup tekan tombol daya lalu boot ke Windows

    • Jika mesin dengan hard drive terenkripsi dicuri, saya bertanya-tanya apakah cukup dengan menyalakannya saja
    • Saya berasumsi lalu lintas di bus SPI harus terenkripsi, tetapi tampaknya mesin akan dengan mudah memberikan kuncinya
    • LUKS memiliki prompt kata sandi untuk membuka kunci drive

  • Serangan tertentu sepenuhnya dicegah oleh spesifikasi mitigasi serangan reset platform workgroup klien PC

    • Jika sistem operasi tidak dimatikan dengan bersih, firmware akan menghapus RAM dan berhenti sebelum boot berikutnya
    • Saya penasaran apakah Windows tidak menggunakan ini, atau sistem yang diuji memang tidak mengimplementasikannya

  • Saya penulis artikelnya. Jika ada pertanyaan, silakan kirim pesan. Pekerjaan ini menyenangkan dan terima kasih atas partisipasinya

  • Ada talk terkait 38C3 tentang bypass BitLocker Windows 11

  • Ada mesin "enterprise" di mana musuh sewenang-wenang yang punya akses fisik tidak bisa melakukan "restart mendadak" dari luar

    • Disayangkan OEM yang digunakan secara luas masih memungkinkan "restart mendadak" dengan mudah

  • BitLocker hanya melindungi saat komputer dalam keadaan mati, dan harus dikonfigurasi agar meminta kata sandi saat boot

  • Windows menawarkan opsi enkripsi memori dan kompresi memori

    • Intel dan AMD sedang berupaya menanamkannya di CPU, dan sasarannya adalah server dengan banyak VM, bukan laptop

  • Untuk eksploit yang membaca dump memori mesin target, saya penasaran apakah saat akses fisik dimungkinkan, perangkat "interposer" bisa menyalin atau memodifikasi data dari luar

    • Saya bertanya-tanya apakah memodifikasi memori itu mungkin, seperti perangkat "Action Replay" pada Gameboy
    • Saya penasaran apakah keadaan memori bisa ditangkap dengan menyisipkan perangkat di antara RAM dan motherboard
    • Saya bukan insinyur elektro, jadi usulan ini mungkin tidak realistis, tetapi sepertinya ada keterbatasan ruang fisik dan bandwidth

  • Surface 5 Pro dengan disk terenkripsi BitLocker cepat berpindah ke BSOD saat proses boot

    • Saya penasaran apakah ini bisa bekerja dalam situasi seperti itu, dan sedang menunggu eksploit untuk mengekstrak foto dari disk