هجوم الخادمة الشريرة: هجوم على أجهزة الكمبيوتر باستخدام أقراص مشفرة


< الفريق الاستشاري

من خلال الوصول المادي إلى جهاز كمبيوتر ، يمكن لعامل ضار تنفيذ هجوم يسمى “Evil Maid Attack” ، والذي يسمح بالحصول على البيانات المخزنة على القرص أو حتى الوصول عن بُعد إلى نظام الضحية. على الرغم من أن الجهاز يحتوي على أقراص مشفرة ، فإن المهاجم قادر ، من Evil Maid ، على تعديل سلوك بدء تشغيل النظام والوصول عن بُعد إلى كمبيوتر الضحية بطريقة لا يمكن اكتشافها تقريبًا.

لإثبات عمل هذا النوع من الهجوم ، تم إنشاء إثبات المفهوم ضد جهاز يحتوي على قرص ثابت مشفر ويعمل بنظام Linux. سيتم تفصيل PoC أدناه.

الهجوم

أولاً ، يجب أن يحصل المهاجم على وصول مادي إلى جهاز الضحية. بعد الانتهاء من ذلك ، يقوم بإجراء تمهيد (تمهيد) لنظام Linux على pendrive أو ، إذا لم يكن لديه كلمة مرور تمهيد لجهاز الكمبيوتر الخاص بالضحية ، يقوم بإزالة القرص الصلب من الجهاز ثم توصيله بجهازه الخاص. من خلال الوصول إلى القرص المشفر ، يقوم المهاجم بتجميع وحدة التخزين المسؤولة عن تنفيذ عملية فك تشفير هذا القرص.

ضمن هذا المجلد ، تم العثور على العديد من ملفات التمهيد ، مثل Initrd ، الذي يحتوي على صورة Linux والمسؤول عن تشغيل برامج التمهيد التي تنفذ عملية فك تشفير القرص. ثم يتم نسخ Initrd إلى مجلد حيث سيتم تعديله ليشمل تعليمات برمجية ضارة.

الملفات الأولية لها بنية مختلفة اعتمادًا على توزيع Linux المستخدم. للتأكد من محتويات الملف ومحدداته ، تم استخدام برنامج تحليل جنائي يسمى binwalk.

كما هو موضح في الصورة 3 ، يوجد في Initrd عدة ملفات مقسمة بين ملفات kernel لصورة Linux – والتي تصل إلى عدد البايت 1605631 – وصورة Linux نفسها ، والتي توجد في هذه الحالة بتنسيق Gzip. باستخدام هذه المعلومات ، يقسم المهاجم ملف Initrd إلى جزأين باستخدام برنامج يسمى dd.

بعد هذا التقسيم يتم استخراج الملف المحتوي على صورة Linux وكشف محتوياته.

باستخدام الصورة المستخرجة ، من الممكن تحديد موقع البرنامج النصي المسؤول عن فك تشفير القرص ، ويمكن العثور عليه في المسار التالي:

/ scripts / local-top / cryptroot

يتم بعد ذلك تعديل النص بحيث يضيف بعد فك تشفير القرص غلافًا عكسيًا إلى كمبيوتر الضحية.

بعد تغيير البرنامج النصي ، يتم ضغط صورة Linux وضمها إلى مجموعة ملفات kernel ، لتشكيل Initrd المعدل ، والذي يجب استبداله بـ Initrd الذي يستخدمه كمبيوتر الضحية.

مع اكتمال الإجراءات ، يغلق المهاجم كمبيوتر الضحية وينتظر حتى تقوم بتشغيل جهاز الكمبيوتر الخاص بها.

عند تشغيل الكمبيوتر ، توفر الضحية للمهاجم الوصول عن بُعد بامتيازات المسؤول.

كيف تحمي نفسك من الخادمة الشريرة

لا توجد إجراءات يمكن أن تحمي الأجهزة فعليًا من هجوم Evil Maid ، ولكن يمكن اتخاذ سلسلة من الإجراءات لإعاقة أو تعطيل العملية ، اعتمادًا على مستوى مهارة المهاجم.

لا تترك الكمبيوتر في مكان غير موثوق به

إذا كنت مسافرًا ، على سبيل المثال ، سيكون الخيار الجيد لتخزين جهازك هو الأمان في غرفتك بالفندق ، ولكن الاحتفاظ بالأجهزة ومحركات الأقراص المحمولة معك دائمًا هو الخيار الأفضل.

تشفير الأقراص الخاصة بك

بالرغم من عدم منع الهجمات الأكثر تعقيدًا ، فإن القرص المشفر بالبرامج يضيف وقتًا إلى العملية ، مما يمنع المهاجم من عرض البيانات وتعديلها عند الوصول إلى القرص.

استخدم FDE

بالإضافة إلى تشفير الأقراص على مستوى البرامج ، فإن تنفيذها على مستوى الأجهزة يكون بنفس الأهمية أو أكثر من ذلك ، ويمكن تحقيق ذلك من خلال التقنيات المعروفة ، مثل FDE (تشفير القرص الكامل).

قم بإيقاف تشغيل الكمبيوتر عندما تكون بعيدًا

تمنع حقيقة إيقاف تشغيل الكمبيوتر عدة أنواع من هجمات Evil Maid ، بالإضافة إلى وضع التشفير على القرص الصلب.

أضف كلمة مرور التمهيد في BIOS باللوحة الأم

يُعد استخدام كلمة مرور بدء التشغيل على أجهزتك إجراءً من شأنه تأخير تنفيذ الهجوم ؛ ومع ذلك ، لا يزال من الممكن القيام بذلك إذا قام المهاجم بإزالة القرص الصلب من الجهاز.

إبقاء TPM نشطة

TPM عبارة عن شريحة موجودة في بعض اللوحات الأم مسؤولة عن التشفير وفك التشفير وتخزين مفاتيح التشفير. بالإضافة إلى ذلك ، يقوم TPM بإجراء فحوصات سلامة BIOS وملفات النظام.

تعد الأقراص المشفرة طبقة أمان مهمة ؛ ومع ذلك ، فهي توفر الحماية فقط في الحالات التي يُفقد فيها الجهاز أو يُسرق ، ولا تمنع الهجمات من Evil Maid. كن دائمًا على دراية بالمكان الذي سيتم تخزين جهازك فيه وتنفيذ الإجراءات التي يمكن أن تؤخر أي مهاجم محتمل.

المراجع

[1] http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

[2] https://github.com/nyxxxie/de-LUKS

[3] https://www.cryptomathic.com/news-events/blog/the-trusted-platform-module-explained