工作電腦被偷的 30 分鐘後，公司內網就進人了。

不僅擁有活動目錄上的基本特權，還能在內部檔案中來去自如！

可我那保護重重的 Windows 防火牆呢？

我那可以生成和儲存各種金鑰的 TPM 晶片呢？

黑客到底是怎麼越過這些阻礙的？

繞過 TPM

好，現在請出我們的受害者 ——

一臺 Windows 10 系統的聯想膝上型電腦。

使用的是微軟的 BitLocker，通過微軟的可信平臺模組（TPM）加密。

這時，要提取驅動器解密金鑰進而入侵內網，就需要從 TPM 入手：

不過這是一種結構高度複雜，且含有許多篡改檢測和保護的硬體。直接攻擊可能會花費大量時間。

因此，我們可以關注一下 TPM 周圍的依賴關係和內容。

比如…… 並沒有使用 TPM 2.0 標準的加密通訊特性的 BitLocker。

這意味著從 TPM 發出的資料都是以明文形式遊走在 SPI 總線上的，包括 Windows 的解密金鑰。

如果能抓住那個金鑰，就能夠解密驅動器，獲得 VPN 客戶端配置的訪問許可權，進而有訪問內部網路的可能。

可現在問題又來了。

要抓取 SPI 總線上的資料，就要將引線或探針連線到 TPM 的引腳上。

而這個“引腳”只有 0.25 毫米寬，0.5 毫米間隔，還是一個平放在芯片面上，難以用物理方式連線的偽・引腳。

那有沒有更大，更好連線的呢？

還真有：

這是與 TPM 共享一個 SPI 匯流排的 CMOS 晶片，它的引腳非常清晰分明。

好，Saleae 邏輯分析儀，連線！

從預登陸功能的“後門”入侵

現在，探測儀已經連線，開始啟動電腦。

我們現在需要在數以百萬計的 SPI 位元組中，找到一個正在被髮送的 BitLocker 解密金鑰。

先用高階分析器（HLA）進行事務分析：

經過幾天的故障排除和比較之後，我們發現了 TPM 命令包的不同位掩碼的組合，以及用於尋找金鑰的不同正則表示式。

再用 bitlocker-spi-toolkit 解析這些請求，鑰匙就拿到了！

接下來讓我們用鑰匙解密固盤（SSD），看看裡面到底有什麼。

拔出固態硬碟，安裝在一個介面卡上，然後插上：

在做了一個磁碟映象之後，我們使用 Dislocker 工具集來解密驅動器：

現在就可以離線訪問內容的明文了！

此外，我們還發現了正在使用的 VPN 客戶端: Palo Alto 的全球保護（GP）。

GP 有一項預登陸（Pre-logon）功能，會對端點（而不是使用者）進行身份驗證，並允許域指令碼或其他任務在端點啟動後立即執行。

這樣，我們就可以使用粘滯鍵後門（Sticky Keys Backdoor），在不需要任何憑證的的前提下訪問 VPN。

有了後門訪問之後，我們需要將解密後的 Windows 映像引導為虛擬機器。

因此，先建立一個 VMDK，將解密 BitLocker 分割槽和加密映像的起始扇區對映到適當的 VM 分割槽：

再使用 VMDK 和粘滯鍵後門的 WIndows 映象，建立並啟動虛擬機器，按下 WIndows + U：

△全球保護狀態：已連線

然後就可以在域中執行基本的 SMB 命令了。

比如查詢如使用者、組、系統等網域控制器的各種型別的領域資訊。

或者列出並檢視中小企業內部共享的檔案內容：

還可以通過訪問這個電腦帳戶來發動內部攻擊。

比如將一個檔案寫入內部檔案伺服器，並將其讀回：

至此，我們已經獲得了內部網路的訪問許可權 ——

包括在活動目錄上的基本特權，以及對內部檔案共享的訪問許可權。

而以此開始做 LNK 攻擊或 trojaned pdf 等入侵，最終致使資料洩露也就有了可能。

Windows11 更新強制要求裝置有 TPM2.0

當然，上述的所有過程都不是真的黑客攻擊。

而是美國的一家網路安全公司 Dolos Group 面對客戶疑惑的迴應：

你能用偷來的筆記本幹什麼？能進入我們的內網嗎？

因此，Dolos Group 團隊就展示瞭如何使用一臺“被盜”的公司膝上型電腦，將幾個漏洞連結在一起，最後進入公司內網。

而讓人注意的是，Dolos Group 團隊在入侵的最開始就提到：

BitLocker 沒有使用 TPM 2.0 標準的加密通訊特性。

這不禁讓人想到了 Windows11 更新時強制要求裝置有 TPM2.0 的措施：

所以，2.0 版本對比 1.X 標準都增加了哪些功能？

簡單來說，TPM 2.0 大幅增加了模組內建加密演算法的種類和安全性。

因此相容的軟體和場景更多，生成的密碼更長更難破解。

結合上文對適用了舊版本 TPM 的電腦的入侵，微軟會將 TPM2.0 列入 Windows 11 的必須硬體配置列表中，似乎也就不難理解了。

不過，也有網友對此表示：

為了避免這種問題，你應該有一個必要的外部密碼來解鎖硬碟，而非 TPM。