將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/3/22

鍥而不捨爬梳線索 ADS匿蹤特性暗藏證據

隱形跡證撿出金鑰 破解BitLocker全機加密

Pieces0310
現今的犯罪型態與過往不同的是,智慧型犯罪有逐漸攀升之勢,當鑑識人員在面對工於心計並能善用反鑑識技巧的智慧型罪犯時,更應步步為營,才能突破困境。本文將說明透過隱形的跡證,找到破解全機加密的關鍵金鑰,進而還原案情真相。
前情提要:話說軍方接獲匿名檢舉,任職某重要軍情單位的情報官Edison,涉嫌將兵棋推演及演習計畫等機密,洩漏給對岸情蒐單位。

軍方高層十分重視,立即成立專案小組展開調查,且不排除還有其他人員亦涉案其中,因此派幹員展開長期跟監。但近日在一次跟監行動中尾隨Edison的座車時,被Edison發現有異而加速逃逸。幹員兵分二路,除持續追查Edison行蹤外,同時也進入Edion租屋處進行搜索。

證物硬碟內容無法辨識

在現場所扣得的證物包括數支隨身碟,以及一台處於已關機狀態的筆電,幹員火速送往刑鑑中心進行鑑識分析。鑑識團隊在完成證物硬碟的映像檔製作之後,掛載證物映像檔進行檢視,赫然發現裡頭內容完全無法辨識,如圖1所示。


▲圖1 硬碟內容完全無法辨識。


鑑識人員進一步查看,Partition 1為系統保留區,而Partition 2和Partition 3分別代表證物硬碟的C槽與D槽。這兩個Partition的共同特徵是,裡頭沒有任何資料夾和檔案,僅標註為無法識別的檔案系統,如圖2框選部分所示。


▲ 圖2 Partition 2和Partition 3內沒有任何資料夾和檔案,僅標註為無法識別的檔案系統。


案情顯然沒有那麼單純,因為R留意到了這兩個Partition的OEM ID皆帶有「FVE-FS」的字眼(如圖3~4所示),其意為Full Volume Encryption File System,此即為啟用了BitLocker加密機制的明證。


▲ 圖3 Partition 2的OEM ID內含「FVE-FS」字眼。



▲ 圖4 Partition3的OEM ID標示「FVE-FS」。


筆電已BitLocker全機加密

面對此一特殊狀況,R立即向專案小組說明,目前的初步鑑識分析結果,可確定Edison的這台筆電啟用了BitLocker加密功能,且不只是對C槽以外的磁碟,就連作業系統所在的C槽也一併加密了。

眼見在座的長官們聽的一頭霧水,R便對此證物映像檔產生一份快照(Snapshot)以進行開機,好讓長官們了解BitLocker全機加密的情形為何。此時映入大家眼簾的不是Windows登入畫面,而是要求提供加密金鑰的畫面,如圖5所示。


▲ 圖5 要求提供加密金鑰。


當時進行現場蒐證的第一線鑑識人員S接著說明,欲破解BitLocker全機加密,最好的時機點是在該電腦已登入使用,處於開機狀態之下,對其進行記憶體傾印(Memory Dump),如此一來所擷取出的記憶體傾印檔當中,便包含了破解BitLocker全機加密所需的Credential。可惜的是,在抵達現場時這台筆電已處於關機狀態,因此無法取得包括記憶體傾印檔在內的消逝性跡證。

但S也感到納悶,S曾經查過Edison這台筆電的規格,並無TPM模組,那Edison是如何能啟用BitLocker全機加密呢?的確,誠如S所述,在不具備TPM模組的筆電上欲啟用BitLocker全機加密之時,會出現如圖6所示的警示訊息。


▲ 圖6 啟用BitLocker全機加密時會出現警示訊息。


全力尋找金鑰檔案

但不具備TPM模組的筆電就真的完全沒有可能啟用BitLocker全機加密嗎?R為了讓大家理解,便找了一台不具備TPM模組的筆電,只要修改本機群組原則,在不含相容TPM的情形下允許使用BitLocker即可達成目的,如圖7中底線所示便是重點所在。


▲ 圖7 在不含相容TPM的情形下允許使用BitLocker。


也就是說,Edison這台筆電的BitLocker加密金鑰是儲存在USB隨身碟之中。如此一來,當天在現場所扣得的數支隨身碟,便會是極為重要的線索。倘若BitLocker加密金鑰是儲存在USB隨身碟內,裡頭必然會有副檔名為.bek的檔案,此即為加密金鑰檔案。另外,不排除Edison有可能也將修復金鑰儲存在其所擁有的隨身碟之中。

因此,可用以解密BitLocker的兩個關鍵,一是.bek加密金鑰檔案,另一個則是修復金鑰,只要能掌握二者其中一個即可。若能取得Edison當時啟用BitLocker加密的.bek檔,只要將它複製到任一支鑑識團隊所準備的隨身碟內,插入Edison的筆電,便能順利開機來到Windows的登入畫面。

但怎知哪一個.bek檔可以令Edison的筆電順利開機呢?答案便在開機畫面之中,首先留意磁碟標籤的值為「USER-PC C:」代表此筆電的主機名為「USER-PC」,而對應其C槽的金鑰檔名為下一行所示的439XXX93D.BEK,如圖8所示。因此若是能找到與上述檔名相符的.bek檔就可以順利Bypass以進到Windows登入畫面。


▲ 圖8 找到對應其C槽的金鑰檔名。


那要是未能找到.bek檔呢?還有一個辦法,只要找到對應的修復金鑰,也可以達到相同效果。至於是哪一組修復金鑰才對?只要檢視輸入修復金鑰介面中的「修復金鑰識別碼」即可,如圖9所示。因此,鑑識團隊的重責大任便是在現有所扣得的證物之中設法找出加密金鑰或修復金鑰,才能順利解鎖。


▲ 圖9 找到修復金鑰識別碼。


發現蹤跡 逮捕犯嫌

另一方面,軍方根據線報,在Edison女友Carrie的南部老家附近發現了Edison的蹤跡,憲調組幹員前往Edison女友的南部老家守株待兔,順利地將Edison逮捕。在押解過程中,Edison顯得十分平和,在訊問時亦是氣定神閒,堅稱並未為對岸從事情蒐或竊取任何軍機。

在問及其私人筆電有BitLocker加密,要求Edison配合進行解鎖之時,Edison僅稱這筆電已很久沒用了,也不知道怎麼著突然變成了這副模樣。Edison的臉上閃過一抹神秘的淺笑,此刻的他一味裝死裝傻,似是看準了軍方拿BitLocker全機加密沒輒。

鑑識團隊將當時在Edison租屋處所扣得的數個隨身碟,進行證物映像檔製作。經掛載檢視發現其現存內容多為影音檔。鑑識團隊不排除相關檔案已遭Edison刪除,便以專業工具進行資料回復,但在所能回復出的檔案之中,未發現與加密金鑰或修復金鑰有關的內容。

鑑識團隊仍然持續努力不懈,以.bek檔案的檔案特徵值進行Carving,並以修復金鑰的Pattern做為關鍵字進行正規式(Regular Expression)搜尋,只可惜仍然毫無所獲。

專案小組的長官們並不在乎技術細節,他們只想知道究竟有沒有辦法可破解Edison筆電的BitLocker全機加密。其中一位長官便問道:「那咱們花了大把鈔票買的鑑識工具呢?應該派得上用場吧?」

R以實作進行說明,鑑識工具確可識別出Edison的筆電為BitLocker全機加密,因此會彈出視窗要求提供「Recovery Key」或是輸入「Recovery Password」以存取遭加密的磁區,如圖10~11所示,分別代表Edison的C槽與D槽目前皆受到BitLocker加密機制保護而無法存取。


▲ 圖10 要求提供Recovery Key或輸入Recovery Password以存取遭加密的磁區。



▲ 圖11 必須擁有Recovery Key或知道Recovery Password才能存取加密磁區。


R耐著性子解釋,即便是商業版的鑑識工具或破密工具,在面對BitLocker全機加密時,也無法在缺少加密金鑰或修復金鑰的情況下,僅憑暴力破解就能解密。

R也曾思索Edison會如何藏匿加密金鑰或修復金鑰?假設若將加密金鑰或修復金鑰的相關檔案都刪除了,那Edison要如何開機使用筆電呢?在此種情況之下,唯一的可能便是「輸入修復金鑰」,也許有人會說,這麼長的數字組合哪記得住啊?但R根據經驗,即使是複雜的英數混合字串如安裝序號等等,也會因為常用之故而深刻烙印在腦海之中不易忘卻。因此,Edison要記住8組6位數共48個數字的修復金鑰,其實並非不可能。

曉以大義 尋獲關鍵隨身碟

在現有的證物之中皆未能找到相關線索的情況之下,R意識到也許還有相關跡證存在於目前的蒐證範圍之外的可能性,便將注意力轉移到了Edison的女友Carrie身上。在與Carrie面對面接觸時,R表明希望她勸Edison不要一錯再錯,若能懸崖勒馬,供出相關案情並交出所竊取的軍事機秘,也許還有機會減輕刑度。Carrie陷入了沈思良久後,自她的鑰匙圈中取下了一個隨身碟交給R,如圖12所示。


▲ 圖12 鑰匙圈中藏有隨身碟。


Carrie憶及當初Edison把隨身碟給她時,有特別叮囑她代為妥善保管。而因為它的造型精美小巧,Carrie便把它扣在鑰匙圈上隨身攜帶,偶爾還會用到它來儲存檔案。如今R提及了Edison筆電的加密金鑰,令Carrie聯想起這支隨身碟或許跟Edison的筆電加密有關才是。

R喜出望外,這隨身碟既是Edison千叮萬囑要Carrie妥為保管,其重要性可見一斑。R將這支隨身碟帶回實驗室,迫不及待地展開鑑識分析工作,但出乎意料的是,用上幾個鑑識工具反覆查找,裡頭只有一些內容與軍機無關的檔案。原本看似離破案僅有一步之遙,但此刻卻又有如身陷十里迷霧之中。

依循ADS特性 找出破案關鍵

R看著這支隨身碟若有所思,霎時間他想起了一個會因為檔案系統的特性而不復存在的重要跡證,應該就是它錯不了。R急忙趕到了Carrie的下榻處,問她是否曾將隨身碟裡的檔案備份至電腦?Carrie點點了頭,便拿出了她的筆電,把備份檔所在路徑告訴了R。

R以工具對那些備份檔進行查看,果不出所料,Edison就是把解密的修復金鑰藏在deployment.docx檔案之中,如圖13中的底線部分便是修復金鑰的值。


▲ 圖13 找到修復金鑰的值。


Carrie看了一下直呼不可思議,她也曾打開過這個檔案,但怎麼全無印象裡頭曾存在過這組怪異的數字。R娓娓道出關鍵所在,這「:key」便是具備「匿蹤」效果的「Alternative Data Stream」,簡稱ADS,若無適當的工具是無法察覺出這類跡證的存在的。ADS可用於儲存資訊並附加於檔案之內但不會影響檔案本身內容,但同樣地,亦可能成為犯嫌用以儲存重要資訊且不會被發現的絕妙所在。

R為了驗證這組修復金鑰的正確性,便以證物分身磁碟開機並輸入這組數字,果然順利跳過BitLocker鎖定畫面(圖14),證明就是這組值沒錯。R便將這組修復金鑰傳回實驗室,以利鑑識團隊進行解密之用。


▲ 圖14 順利跳過了BitLocker鎖定畫面。


令Carrie感到疑惑的是,這檔案原本也就是自Edison的隨身碟複製而來的,為何隨身碟裡的deployment.docx檔案查無解密關鍵,但是備份至電腦上的deployment.docx備份檔反而就找到了解密關鍵。

R向Carrie解釋:「正是由於這樣的狀況,我便推論妳曾因故打算格式化這支Edison給妳的隨身碟。但由於Edison曾交代妳要好好保管它,妳自然便會為裡頭的檔案進行備份,待格式化完成之後,再將備份的檔案複製到隨身碟之中。」Carrie驚訝地表示確是如此,但她還是不理解為何明明應是內容全無二致的兩個deployment.docx檔案,但只有其中之一可找得出關鍵線索。

R禁不住Carrie一再要求,便說出了關鍵所在,那就是「檔案系統」,因ADS是NTFS這個檔案系統才具備的特性之故。在一開始,Edison的隨身碟其檔案系統應為NTFS,而Carrie將隨身碟內的檔案複製到其筆電的本機磁碟,目的地磁碟分區的檔案系統亦應為NTFS,因此確保了ADS的內容完整未遭破壞。

但Carrie後來對該隨身碟進行格式化時,選擇採用FAT32的檔案系統格式,因此,之後Carrie再把備份檔複製回隨身碟之時,deployment.docx此檔案的內容並未改變,但ADS已不復存在。當然了,於此之時會彈出一個相關的警示訊息,但當時Carrie應未加留意便點擊確認了。更何況Carrie後來檢視來源與目的地檔案的大小及內容完全一致,就更加不以為意了。

鑑識團隊以R所擷取出的修復金鑰對證物映像檔進行解密,終於一舉查獲兵推及演習計畫等重要軍事機密,如圖15所示。


▲ 圖15 以修復金鑰成功地解密證物映像檔。


當專案小組向Edison出示相關跡證,證明軍事機密確實存在其筆電之中時,Edison驚訝地說不出話,想不透這BitLocker全機加密究竟是如何給破解的。Edison自知既已無法抵賴,便一五一十地把如何取得軍事機密及計畫交付的情事全盤託出,鑑識團隊最終成功地破案並阻止了重要軍機外洩。

結語

調查之初所能蒐證到的證物範圍之中,不必然就能涵蓋可能的相關線索,若能將觸角延伸至其他相關的人、事、物,便尚有機會掌握突破的契機。再者,「魔高一尺,道高一丈」,無論犯嫌如何殫思竭慮地隱藏罪證或滅證,甚至讓重要線索彷彿「消失」不見蹤影,鑑識人員仍能由各個面向挖掘任何可能的線索,從而掌握取證關鍵,將不法之徒繩之以法。

<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>
這篇文章讓你覺得滿意不滿意
送出
相關文章
活用免費工具備份分析 萃取手機FB對話紀錄
安碁資訊全台唯一SOC自建數位鑑識中心
打造小型SDN環境 實作勒索病毒防護機制
破解QQ通訊加密 還原手機犯案真相
無痕瀏覽走過不留紀錄 記憶體鑑識仍有跡證可循
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章