Windows 11’de BitLocker’ı atlatmak için bellek dökümü yöntemi

 (noinitrd.github.io)
2 puan yazan GN⁺ 2025-01-01 | 1 yorum | WhatsApp'ta paylaş

  • Giriş

    • Bu yazı, Windows 11 (sürüm 24H2) üzerinde BitLocker şifrelemesini atlatma yöntemini açıklıyor. Bu, bellekten tam hacim şifreleme anahtarının (FVEK) çıkarılmasıyla gerçekleştiriliyor.

  • Arka plan

    • Bir saldırgan cihaza fiziksel olarak erişebiliyorsa, bilgisayarı aniden yeniden başlatıp en son çalışan Windows örneğinin RAM’ini dökerek hassas bilgilere ulaşabilir.
    • RAM içeriği güç kesildiğinde hızla bozulduğundan, bunu önlemek için RAM’i fiziksel olarak soğutmak veya harici bir güç kaynağı kullanmak gibi yöntemler vardır.
    • Secure Boot, cihaz başlatılırken nelerin çalıştırılabileceğini sınırlayan bir güvenlik standardıdır, ancak bunu atlatmanın yolları vardır.

  • Adım 1: Önyüklenebilir USB aygıtı oluşturma

    • Hedef sistemin RAM’inden daha büyük bir USB depolama aygıtı hazırlamanız gerekir.
    • Önyüklenebilir uygulamayı oluşturup kullanmak için flashimage.sh betiği kullanılır.

  • Adım 2: Hedef sistemi ani şekilde yeniden başlatma

    • Amaç, bilgisayarın tamamen kapalı kaldığı süreyi en aza indirmektir.
    • Windows yüklenirken, oturum açma ekranı görünmeden önce sistemi yeniden başlatmak etkilidir.

  • Adım 3: USB aygıtından önyükleme

    • UEFI kabuğuna ulaşmak için USB aygıtından hemen Memory-Dump-UEFI ile önyükleme yapılır.
    • Bellek dökümü oluşturmak için app.efi çalıştırılır.

  • Adım 4: Döküm analizi

    • FAT32 dosya sistemindeki 4 GB dosya boyutu sınırı nedeniyle birden fazla döküm oluşturulabilir.
    • Birden fazla dökümü tek bir dosyada birleştirmek için concatDumps programı kullanılabilir.
    • Döküm içinde belirli kalıpları aramak için searchMem programı kullanılabilir.

  • Pool tag

    • Pool tag, Windows çekirdek bellek havuzundaki konumu gösteren 4 karakterli bir tanımlayıcıdır.
    • pooltag.txt dosyası, çeşitli pool tag’leri ve amaçlarını içerir.

  • FVEK anahtarını kurtarma

    • FVEK anahtarı, dFVE pool tag’i altında bulunabilir; bu, BitLocker sürücü şifrelemesinin tam hacim şifreleme çökme dökümü filtresiyle ilişkilidir.
    • Anahtar, None tag’i altında da bulunabilir.

  • Sonraki adımlar

    • Elde edilen anahtara kullanılan algoritma eklenmelidir.
    • Sürücünün kilidini açmak için dislocker aracı kullanılabilir.

  • Son not

    • BitLocker’ın nasıl uygulandığını anlamak için çekirdek düzeyinde hata ayıklama yapmak en iyi yöntemdir.
    • Microsoft anahtarları yok etmeye çalışır, ancak tüm anahtarları yok edemez.

İlgili okumalar

1 yorum

 
GN⁺ 2025-01-01
Hacker News görüşleri

  • BitLocker, TPM (PCR 7+11) ve PIN birlikte kullanıldığında en büyük faydayı sağlıyor. PIN olmadan FVEK okunamıyor ve çok sayıda yanlış PIN girildiğinde TPM sözlük saldırısı kilitleme moduna geçiyor

    • Linux'ta benzer bir kurulum deniyor; systemd-cryptsetup/cryptenroll yalnızca LUKS için olduğundan hassas dizinleri fscrypt ile şifrelemeyi düşünüyor
    • TPM, temel kullanımın ötesine geçildiğinde oldukça zorlayıcı
    • Bu bir kişisel proje ve tamamlandığında yazmayı planlıyor

  • BitLocker'ın güvenlik modelini anlamıyor. Çoğu kurulumda güç düğmesine basınca Windows açılıyor

    • Şifrelenmiş sabit diski olan bir makine çalınırsa sadece açmanın yeterli olup olmadığını merak ediyor
    • SPI veri yolu trafiğinin şifreli olması gerektiğini varsayıyor, ama makinenin anahtarı kolayca verecek gibi göründüğünü düşünüyor
    • LUKS'ta sürücü kilidini açmak için bir parola istemi var

  • Belirli bir saldırı, PC istemci çalışma grubu platform sıfırlama saldırısı azaltma spesifikasyonu tarafından tamamen engelleniyor

    • İşletim sistemi temiz şekilde kapanmazsa firmware RAM'i siliyor ve bir sonraki açılıştan önce duruyor
    • Windows'un bunu kullanıp kullanmadığını ya da test edilen sistemin bunu uygulayıp uygulamadığını merak ediyor

  • Makalenin yazarı. Sorusu olanların kendisine mesaj göndermesini istiyor. Çalışmanın eğlenceli olduğunu ve katkılar için teşekkür ettiğini söylüyor

  • Windows 11 BitLocker bypass hakkında 38C3 ile ilgili bir konuşma var

  • Fiziksel erişimi olan rastgele bir saldırganın dışarıdan "ani yeniden başlatma" yapamadığı "enterprise" makineler var

    • Yaygın kullanılan OEM'lerin hâlâ "ani yeniden başlatma"yı kolayca mümkün kılması üzücü

  • BitLocker yalnızca bilgisayar kapalıyken koruma sağlıyor ve önyükleme parolası isteyecek şekilde yapılandırılması gerekiyor

  • Windows, bellek şifreleme seçeneği ve bellek sıkıştırma öneriyor

    • Intel ve AMD bunu CPU'ya yerleştirmek için çalışıyor; hedef dizüstüler değil, çoklu VM çalıştıran sunucular

  • Hedef makinenin bellek dökümünü okuyan exploit bağlamında, fiziksel erişim varken bir "interposer" cihazının veriyi kopyalamasının veya değiştirmesinin mümkün olup olmadığını merak ediyor

    • Gameboy'daki "Action Replay" cihazı gibi belleği değiştirmenin mümkün olup olmadığını soruyor
    • RAM ile anakart arasına bir cihaz yerleştirerek bellek durumunun yakalanıp yakalanamayacağını merak ediyor
    • Elektrik mühendisi olmadığını, bu yüzden önerisinin gerçekçi olmayabileceğini; ama fiziksel alan ve bant genişliği kısıtları olacağını düşündüğünü ekliyor

  • BitLocker ile şifrelenmiş diske sahip bir Surface 5 Pro, açılış sırasında hızla BSOD'ye düşüyor

    • Bunun bu durumda işe yarayıp yaramayacağını merak ediyor ve diskten fotoğrafları çıkarmak için bir exploit bekliyor