Как получить доступ к файлам из учётной записи компьютера при проведении расследования или в случаях, когда сотрудник уволен? Ответ на этот вопрос очевиден далеко не всегда. Сброс пароля средствами Active Directory поможет войти в учётную запись, но не поможет получить доступ к данным, защищённым средствами DPAPI (например, сохранённым паролям пользователя). Кроме того, будет потерян доступ к файлам, зашифрованным средствами EFS. В этой статье мы расскажем об одной из возможностей получения доступа к учётным записям Windows посредством создания загрузочного USB-накопителя.

Первое препятствие: шифрование диска

Шифрование диска (особенно — загрузочного раздела) способно существенно затруднить восстановление доступа. Никакие другие атаки или попытки получить доступ к данным невозможны до тех пор, пока не будет преодолён рубеж шифрования диска.

Традиционный способ атаки на зашифрованные разделы — извлечение диска и создание образа. Мы предлагаем более быстрый и простой способ доступа к информации, необходимой для взлома шифрования диска. Способ основан на загрузке с USB-накопителя, извлечении файлов подкачки и гибернации и получении метаданных, необходимых для подбора пароля к зашифрованному тому.

Мы публиковали руководство по работе с зашифрованными системными томами в статье A Bootable Flash Drive to Extract Encrypted Volume Keys, Break Full-Disk Encryption

Если диск не зашифрован: нужен ли пароль?

Нужен ли пароль от учётной записи Windows, если диск не зашифрован? Ответ не так однозначен, как может показаться. С одной стороны, пароль от учётной записи пользователя можно сбросить — в этом случае можно зайти в его учётную запись. С другой — сброс пароля сделает невозможным доступ к заметному количеству информации, включая следующее.

Файлы и папки NTFS, зашифрованные EFS. Доступ к зашифрованным файлам возможен исключительно по оригинальному паролю пользователя.

Пароли, маркеры, ключи и сертификаты, защищённые DPAPI. Механизм Windows Data Protection API (DPAPI) появился во времена Windows 2000 и используется по сей день для хранения и защиты ключевых данных.

Один из механизмов, использующих DPAPI — это Windows Credential Manager, система хранения паролей, маркеров, ключей доступа к сетевым ресурсам и т.п. В браузерах Internet Explorer и Edge Legacy система Windows Credential Manager использовалась для хранения паролей. В новой версии Edge Crhromium, а также в свежих сборках браузера Chrome, DPAPI используется для защиты ключа, которым зашифрована база данных с паролями пользователя (подробности — в статье Extracting Passwords from Microsoft Edge Chromium).

Защита DPAPI основана на данных для входа в учётную запись. Соответственно, для восстановления доступа к защищённым таким образом данным вам потребуется восстановить оригинальный пароль пользователя, а не сбрасывать его.

Внимание: для доступа к данным и паролям, защищённым DPAPI, а также для расшифровки зашифрованных EFS файлов и папок, необходимо восстановить оригинальный пароль пользователя Windows.

Почему пароль нельзя сбросить

Пароль можно сбросить. Нужно лишь чётко понимать, какие именно данные получится, а какие — не получится извлечь в таком случае. Оригинальный пароль пользователя необходим для для доступа к данным и паролям, защищённым DPAPI, а также для расшифровки зашифрованных EFS файлов и папок. Если доступ к этим данным не нужен, то пароль от учётной записи пользователя можно сбросить — в отличие от перебора, сброс не занимает времени.

Работа по цепочке

Восстановив пароль пользователя от учётной записи, вы сможете извлечь пароли, которые пользователь сохранил в браузерах Chrome, Opera и Microsoft Edge Chromium. Далее можно воспользоваться утилитой Elcomsoft Internet Password Breaker для доступа к iCloud или программой Elcomsoft Cloud Explorer для извлечения данных из учётной записи Google. Из списка паролей можно составить высококачественный словарь для атаки по словарю на другие файлы и документы пользователя.

Восстановление оригинального пароля

Восстановление пароля для входа в Windows может оказаться простой задачей, решаемой загрузкой с USB-накопителя и проведением автоматической атака, а может оказаться достаточно сложной. Во втором случае потребуется извлечение метаданных файлов и работа Elcomsoft Distributed Password Recovery в течение нескольких дней или недель (в перспективе — до бесконечности).

Последняя сборка Elcomsoft System Recovery (версия 7.03 и новее) поставляется с улучшенными, более интеллектуальными и значительно более эффективными алгоритмами восстановления паролей учётных записей Windows посредством автоматической атаки. При запуске восстановления оригинального пароля к учётной записи Windows утилита Elcomsoft System Recovery попытается извлечь пароли, которые пользователь сохранил или кэшировал в своей учётной записи (те из них, которые не защищены DPAPI). ESR создаст из этих паролей словарь и запустит автоматическую предварительную атаку.

В процессе сбора могут быть извлечены многие типы сохранённых паролей, включая различные системные пароли, а также пароли, хранящиеся в браузере Firefox. Тем не менее, этих паролей будет достаточно, чтобы сформировать исключительно короткий словарь. Мы работаем с человеческим фактором, подразумевающим повторное использование пароля. ESR попытается автоматически применить все распространённые модификации (например, добавляя цифры в конце пароля или изменяя регистр первого символа).

Если Elcomsoft System Recovery не сможет восстановить пароль, вам придётся перенести хэш-файлы и открыть их с помощью Elcomsoft Distributed Password Recovery для проведения полномасштабной атаки.

Elcomsoft System Recovery позволяет быстрее начать расследование, загрузившись с портативного флэш-накопителя. При этом для жёстких дисков исследуемого компьютера гарантируется доступ только для чтения. Чтобы создать загрузочный накопитель, запустите Elcomsoft System Recovery на своём компьютере (не на компьютере подозреваемого) и следуйте подсказкам.

Для того, чтобы попытаться восстановить оригинальный пароль от учётной записи пользователя, вам потребуется загрузиться с накопителя и настроить продукт следующим образом. Для проведения атаки на оригинальный пароль пользователя, выберите пункт «Change local user account«, как показано на скриншоте:

Далее нужно отметить пункт «Scan target system for plaintext passwords» для того, чтобы просканировать диск на предмет существующих паролей, которые хранятся в открытом доступе:

Через несколько минут программа выполнит предварительную атаку и выведет результат:

Заключение

Будет ли успешной попытка восстановления пароля от учётной записи пользователя с помощью предварительной атаки — вопрос исключительно удачи, особенно если на компьютере несколько пользователей или используется контроллер домена. Если пароль для входа в систему конкретного пользователя Windows восстановить не удалось, можно попробовать сбросить пароль учётной записи (или снять блокировку учётной записи, если она была заблокирована). Этот вариант можно использовать без опаски, т.к. ESR создаёт резервную копию, позволяющую в любой момент выполнить откат к исходной конфигурации.