发现网络攻击后立即关闭系统？错！| Bitpixie漏洞攻击路径曝光，5分钟即可绕过BitLocker加密

e安在线 e安在线 2025-05-16 02:22

发现网络攻击后立即关闭系统？错！

当网络安全攻击发生时，许多组织的本能反应是关闭所有系统，期望如此来抑制攻击，减少损失。

然而，虽然这种反应可以理解，但并非总是最佳行动方案。当代网络攻击已经演变成精心编排的多阶段行动，而非简单的数字入侵。在这个复杂的威胁环境中，在某些情况下，过早关闭系统实际上可能会加剧损害情况，使恢复更加困难，并导致更大范围的运营中断。

为什么不能立即关闭系统？

在网络攻击后立即关闭系统，可能导致多个严重问题，阻碍有效的响应、调查和恢复工作：

1. 丢失关键取证证据

在网络安全领域，了解”如何”和”为什么”攻击对于缓解当前损害和防止未来入侵至关重要。当系统被突然关闭时，宝贵的取证数据，如系统日志、内存转储和恶意活动痕迹可能被删除或变得无法访问。这些数据对于理解攻击如何发生、攻击者的方法以及他们是否仍在网络中活动至关重要。没有这些信息，安全团队将失去追踪攻击源头和全面评估其影响的能力，使得遏制和预防未来入侵变得更加困难。

例如，许多现代网络攻击非常复杂，在完全执行前会在系统日志甚至系统内存中留下明显迹象。如果立即关闭机器，取证专家可能没有足够的信息来追踪攻击者在网络中的移动，识别他们利用的漏洞，或确定攻击者是否仍在网络内部。没有这些关键细节，应对和遏制攻击变得更加困难。

2. 阻碍调查过程

网络安全专家依靠活动系统来监控正在进行的活动，分析恶意软件行为，并实时跟踪攻击者的动向。在许多情况下，攻击者可能留下了数字痕迹，如恶意软件文件、被盗用户凭证或网络活动痕迹。这些只有在系统保持活动状态时才能被发现，关闭系统会切断这些实时数据流的访问，阻止调查人员收集关键信息，并可能导致对攻击范围和性质的误判。这可能会延迟或复杂化有效的缓解工作。

调查人员可能还需要与被入侵的系统交互，以了解攻击是如何展开的。例如，他们可以监控网络流量或实时观察系统进程，以确定攻击者是否仍然存在。过早关闭系统，可能会失去收集这些基本数据的机会，潜在导致对攻击全部范围和性质的误判。

3. 潜在的数据丢失和系统损坏

攻击中关闭系统可能导致重大数据丢失。比如，在勒索软件等攻击中，文件可能被部分加密或正在被修改。突然关机可能会损坏这些文件，不仅增加了恢复的复杂性，还可能导致永久性数据丢失。

此外，正在被主动修改的数据库如果突然关闭可能会遭受损坏。没有系统的备份和恢复策略，这种损坏可能是不可逆的。不完整或损坏的文件的存在也会阻碍恢复工作，使将系统恢复到功能状态变得更具挑战性。

4. 恶意软件传播和网络暴露的风险

某些恶意软件设计为在关机时加速其在连接系统中的传播。在未先隔离的情况下关闭受感染系统，可能允许恶意软件跳转到其他设备，加剧损害。此外，关闭系统可能会禁用正在积极保护网络的安全工具和监控设备，无意中给攻击者造成更多损害的可能。

5. 失去实时缓解机会

关闭系统会移除应用实时缓解措施的能力，这在实时网络攻击中至关重要。例如，IT团队可能能够隔离受损账户、阻止恶意IP地址或防止恶意软件与外部命令和控制服务器通信，所有这些对于立即阻止攻击都至关重要。

通过保持系统在线和活动，同时采取措施限制其网络访问，组织有机会部署对策，如入侵防御系统(
IPS
)、防火墙或防病毒程序来遏制和隔离攻击。在许多情况下，这些步骤可以在调查攻击时减缓甚至阻止恶意软件的传播。

6. 增加恢复和还原的复杂性

过早关闭系统会使攻击向量的识别变得复杂，并可能导致恢复所需的重要系统设置或配置丢失。如果不谨慎进行，恢复工作会变得更加耗时，并有重新引入恶意软件的风险。包括扫描备份中的恶意软件、验证关键文件的完整性和确保在系统重新上线前修补任何系统漏洞在内的明确的恢复计划，以及适当的取证分析至关重要。

充分的准备是最佳防御

不能立即关闭系统，那么在发现网络攻击后，组织该怎么办呢？

安全牛认为，不关闭系统而有效遏制网络攻击的最佳策略专注于隔离威胁、限制攻击者移动、保存取证证据和维持运营连续性。关键方法包括：

隔离和遏制

安全牛建议，不要关闭系统，而是迅速将受影响系统与更广泛的网络断开连接，防止恶意软件或攻击者横向传播。同时保持系统运行以进行取证分析和缓解。这种受控的遏制策略最大限度地减少了运营中断，阻止攻击进展，并保留了理解和有效应对攻击所需的关键证据。

强制重置密码并限制访问

立即重置有权访问受感染系统的用户密码，阻止攻击者重复使用被盗凭证。实施强大的用户访问控制并执行最小权限原则，确保用户只拥有其角色所必需的访问权限。

遵循验证后的事件响应计划

在不造成重大运营停机的情况下应对网络攻击的关键是准备。组织需要制定一个详细的事件响应计划，明确说明攻击发生时该怎么做。这不仅仅是IT部门的关注点，还需要法律团队、通信专家和高管领导的投入。这个事件响应计划需要经过测试，优先考虑遏制、调查和修复，而不关闭系统。如果没有明确的计划，公司可能会做出反应性决策，使情况恶化。

清晰沟通至关重要

网络攻击准备中最被忽视的方面之一是沟通。当事件发生时，错误信息和恐慌可能会在公司内部以及客户和利益相关者中迅速蔓延。准备充分的组织应有一个有效的危机沟通计划，确保准确信息在适当时间传达给适当的人。

组织应该有指定的发言人准备处理外部沟通，无论是通知客户数据泄露，还是向投资者更新情况。在内部，员工需要明确的指导，包括避免可疑电子邮件、处理可能的媒体询问或遵循特定安全协议。

面对网络事件时的一个常见挑战是业务高管与网络安全团队之间的潜在脱节。如果高管优先考虑运营效率和收入，而网络安全专业人员关注风险缓解和技术防御，这种脱节会加剧。这种不一致可能导致安全措施投资不足或对威胁的响应延迟。将复杂的网络安全概念转化为清晰、与业务相关的语言，并展示它们对运营的影响，可以帮助高管理解必要安全措施的紧迫性。这可以通过协调和调整业务影响分析、
业务连续性计划
、灾难恢复计划和事件响应计划来实现。

培训与演练必不可少

进行网络安全演习和模拟攻击场景可确保员工和高管知道如何在压力下做出响应。这些演习能暴露响应策略中的弱点，让团队在真实攻击发生前完善其方法。

构建网络弹性

除了应对攻击外，安全牛认为，关注长期网络安全弹性至关重要。这意味着实施强大的
数据备份
解决方案，并定期测试以确保在需要时能正常工作。这也意味着在关键系统中建立冗余，以便在业务的一部分受到攻击时，其他区域仍能继续运行。

弹性的一个关键组成部分是实时威胁检测。许多网络攻击在数周甚至数月内都未被发现，在任何人意识到发生了什么之前就已造成广泛损害。为了应对这一点，能够监控网络活动直至数据包级别的平台发挥着至关重要的作用。与依赖预定义规则的传统安全工具不同，网络安全工具可以建立网络活动基线并进行行为分析，以检测和标记需要调查的异常情况。通过持续监控可疑活动，企业可以在威胁升级为重大事件前发现并消除它们。

在当今数字化时代，网络攻击已不再是”如果发生”而是”何时发生”的问题。面对网络威胁，冷静的头脑和科学的方法远胜于本能的反应。真正的网络安全韧性不在于紧急断电的快速反应，而在于精心设计的防御策略、周密的应急计划和经过实战演练的响应团队。通过隔离而非关闭、分析而非恐慌、准备而非仓促，组织能够在数字风暴中保持稳定。

Bitpixie漏洞攻击路径曝光，5分钟即可绕过BitLocker加密

安全研究人员近日展示了一种纯软件技术，可在无需物理工具（如螺丝刀、焊枪）或硬件破解的情况下，成功绕过微软BitLocker加密防护。

通过利用名为Bitpixie（CVE-2023-21563）的漏洞，红队成员与攻防安全专家能够从内存中提取BitLocker卷主密钥（VMK），在5分钟内完整解密受保护的Windows设备。

Compass Security研究员在红队评估报告中指出：”该漏洞利用过程具有非侵入性，既不需要永久性设备改造，也无需获取完整磁盘映像”。

Part01

两种主要攻击路径

报告详细描述了两种基于软件的攻击路径：一种基于Linux系统，另一种基于Windows PE环境——二者均利用了存在缺陷的启动路径，以及BitLocker在缺乏预启动认证时对TPM（可信平台模块）的依赖机制。

---

Linux环境攻击（Bitpixie Linux版）

1. 通过Shift+重启组合键进入Windows恢复环境

2. 通过PXE网络启动存在漏洞的Windows启动管理器

3. 修改启动配置数据（BCD）强制PXE软重启

4. 加载已签名的Linux引导程序（shimx64.efi）

5. 链式加载GRUB引导器、Linux内核及初始化内存盘

6. 使用内核模块扫描物理内存获取VMK

7. 通过dislocker工具挂载含提取密钥的加密卷

报告特别指出：”只要设备启动时不要求输入PIN码或插入USB密钥，该攻击就能完全绕过BitLocker保护，在约5分钟内实现入侵，并可灵活融入社会工程攻击场景。”

Windows PE环境攻击（Bitpixie WinPE版）

针对阻止第三方签名组件的系统（如联想安全核心PC），攻击者可切换至Windows原生攻击路径：

1. 通过修改BCD再次PXE启动Windows启动管理器

2. 加载包含winload.efi、ntoskrnl.exe等微软签名组件的WinPE镜像

3. 运行定制版WinPmem工具扫描内存获取VMK

4. 利用VMK解密BitLocker元数据并提取可读恢复密钥

研究人员解释：”该攻击流仅使用微软签名的核心组件…只要设备信任微软Windows Production PCA 2011证书，所有受影响设备均可能遭入侵。”

Part02

安全建议

报告强调，虽然仅启用TPM保护的BitLocker配置为用户提供了便利，但这种设置使系统暴露于纯软件攻击之下。研究人员建议：”启用预启动认证（PIN码、USB密钥或密钥文件）可有效缓解Bitpixie漏洞及各类软硬件攻击。”安全团队应立即审计所有使用BitLocker的设备，并强制启用预启动认证机制。

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源：
安全牛、FreeBuf、参考来源：

BitLocker Encryption Bypassed in Minutes via Bitpixie (CVE-2023-21563) – PoC Reveals High-Risk Attack Path

BitLocker Encryption Bypassed in Minutes via Bitpixie (CVE-2023-21563) – PoC Reveals High-Risk Attack Path