從某種程度上來講,黑客是網(wǎng)絡(luò)前沿技術(shù)的掌握者,比如對(duì)虛擬機(jī)的使用。他們學(xué)習(xí)了如何在智能手機(jī)中隱藏信息以及如何對(duì)筆記本電腦進(jìn)行加密。攻擊者通過安全通道進(jìn)行通信,且從不讓密碼泄漏,且盡最大努力不留下任何痕跡。取證調(diào)查員每隔一天就會(huì)遇到新的挑戰(zhàn)。在本文中,取證人員將討論攻擊者用來掩蓋其蹤跡的另一種工具:加密的虛擬機(jī)。
由于虛擬機(jī)使用可移植的,獨(dú)立于硬件的環(huán)境來執(zhí)行與實(shí)際計(jì)算機(jī)基本相同的任務(wù),在虛擬機(jī)內(nèi)部執(zhí)行的用戶活動(dòng)大部分保留在虛擬機(jī)映像文件中,而不在主機(jī)上,因此很自然地限制了跟蹤的數(shù)量和威脅性。一些最受歡迎的虛擬機(jī)包括VirtualBox,Parallels和VMWare。雖然Microsoft提供了Hyper-V(在Windows 10上創(chuàng)建虛擬機(jī)的工具),但是Hyper-V提供了有限的加密選項(xiàng),需要將Windows Server作為主機(jī)操作系統(tǒng)。由于這樣或那樣的原因,Hyper-V(微軟的一款虛擬化產(chǎn)品,是微軟第一個(gè)采用類似Vmware ESXi和Citrix Xen的基于hypervisor的技術(shù))很少被攻擊者使用。
將虛擬機(jī)作為犯罪工具
可以對(duì)攻擊者使用的許多類型的虛擬機(jī)進(jìn)行安全加密,使用加密的虛擬機(jī)可以使攻擊者有機(jī)會(huì)隱瞞其在虛擬保護(hù)傘下的活動(dòng),降低了犯罪證據(jù)意外泄漏的風(fēng)險(xiǎn)。
虛擬機(jī)通常具有多種攻擊優(yōu)勢(shì),主要優(yōu)勢(shì)是與正常工作環(huán)境完全隔離。即使存在多種攻擊,這不會(huì)引起什么注意,如虛擬機(jī)逃脫。另一方面,虛擬機(jī)可提供完整的桌面體驗(yàn),可以針對(duì)虛擬機(jī)的特定用途進(jìn)行完全調(diào)整。其中大多數(shù)是合法用途,比如虛擬環(huán)境中的計(jì)算機(jī)取證分析。
在調(diào)查犯罪嫌疑人的計(jì)算機(jī)時(shí),取證專家不僅可以簡(jiǎn)單地對(duì)硬盤進(jìn)行映像,還可以制作功能齊全的虛擬機(jī),以便進(jìn)行進(jìn)一步的取證現(xiàn)場(chǎng)調(diào)查,模擬真實(shí)計(jì)算機(jī)的工作。這提供了更多的可能性,例如從內(nèi)存中提取數(shù)據(jù)和密碼,在虛擬機(jī)上啟動(dòng)取證映像。
當(dāng)然,這是一把雙刃劍。犯罪分子也使用虛擬機(jī),今天比以往任何時(shí)候都要頻繁。這聽起來像是一個(gè)好主意,收集為達(dá)到目的所需的所有工具,準(zhǔn)備發(fā)起惡意軟件傳播或DDoS攻擊,破壞遠(yuǎn)程系統(tǒng)等。所有這些都不再是一勞永逸的工作,需要大量軟件、腳本和數(shù)據(jù)。
相反,他們需要準(zhǔn)備所需的一切,將其打包為虛擬機(jī),將映像上傳到快速可靠的托管服務(wù)器,并隨身攜帶僅帶有裸機(jī)的筆記本電腦。到達(dá)最終位置后,他們可以快速下載映像,運(yùn)行該映像,然后從本地驅(qū)動(dòng)器中將其刪除,具體請(qǐng)查看《Maze勒索軟件攻擊者如何通過虛擬逃避檢測(cè)》。
在上面的描述中,我故意省略了關(guān)鍵步驟。像大多數(shù)數(shù)據(jù)一樣,虛擬機(jī)映像可以受密碼保護(hù)。在已經(jīng)發(fā)現(xiàn)的攻擊樣本中,就有攻擊者使用了多個(gè)受密碼保護(hù)的虛擬機(jī)。不過本文的研究方法是通過提取密碼哈希來手動(dòng)恢復(fù)密碼,然后使用文中提取的工具恢復(fù)它們,本文提到的工具是Distributed Password Recovery,其開發(fā)者已經(jīng)將手動(dòng)恢復(fù)密碼功能添加到其中了。
解鎖虛擬機(jī)后,還有很多工作要做,具體請(qǐng)參閱《計(jì)算機(jī)取證:虛擬系統(tǒng)的取證問題》、《計(jì)算機(jī)取證:如何通過虛擬機(jī)取證證據(jù)數(shù)據(jù)》。
如果虛擬機(jī)需要新的密碼,例如,有Windows帳戶密碼或BitLocker保護(hù),請(qǐng)使用Elcomsoft System Recovery。進(jìn)入后,我建議首先運(yùn)行Elcomsoft Internet Password Breaker,以收集保存在Web瀏覽器中的所有密碼。
如何破解加密的虛擬機(jī):恢復(fù)VMWare、Parallels和VirtualBox的密碼
如上所述,虛擬機(jī)使用可移植的,獨(dú)立于硬件的環(huán)境來執(zhí)行與實(shí)際計(jì)算機(jī)基本相同的角色。在虛擬保護(hù)傘下執(zhí)行的活動(dòng)將線索留在虛擬機(jī)映像文件中,而不是在主機(jī)上。執(zhí)行數(shù)字調(diào)查時(shí),分析虛擬機(jī)的功能變得至關(guān)重要。
攻擊者使用的許多類型的虛擬機(jī)均具有安全加密功能,由于只有在可以提供原始加密密碼的情況下,才能訪問存儲(chǔ)在加密的虛擬機(jī)映像中的證據(jù)。因此取證人員構(gòu)建了一個(gè)工具,使專家可以對(duì)密碼執(zhí)行硬件加速的分布式攻擊,從而保護(hù)由VMWare,Parallels和VirtualBox創(chuàng)建的加密擬機(jī)映像。
虛擬機(jī)加密
可以加密整個(gè)映像的最常見虛擬機(jī)是Parallels,VMWare和VirtualBox。但是,這些虛擬機(jī)之間的加密強(qiáng)度和由此產(chǎn)生的密碼恢復(fù)速度差異很大。讓取證人員看一下這三個(gè)虛擬機(jī)的開發(fā)人員為保護(hù)其內(nèi)容所做的工作。
Parallels
Parallels Desktop被稱為macOS上最強(qiáng)大的虛擬機(jī)軟件。可以在Mac下同時(shí)模擬運(yùn)行Win、Linux、Android等多種操作系統(tǒng)及軟件而不必重啟電腦,并能在不同系統(tǒng)間隨意切換。
雖然如此,Parallels在這三家公司中的保護(hù)力度最弱,雖然Parallels使用AES-128 CBC算法對(duì)數(shù)據(jù)進(jìn)行加密,但加密密鑰是通過過時(shí)的MD5哈希函數(shù)的僅有的兩次迭代獲得的。因此,Parallels的攻擊速度最快。在Intel i7處理器上,研究人員已經(jīng)能夠達(dá)到每秒1900萬個(gè)密碼的速度。有了這樣的速度,即使沒有GPU加速,也可以恢復(fù)相當(dāng)復(fù)雜的密碼。這樣的速度足以使用普通的暴力破解來發(fā)現(xiàn)簡(jiǎn)單的密碼,而更復(fù)雜的密碼仍然需要使用字典攻擊。
VMware
VMvare使用相同的AES-128加密算法,但是,其實(shí)際保護(hù)與Parallels相比則不同。VMware使用10000輪更強(qiáng)的PBKDF-SHA1哈希從密碼中獲得加密密鑰。純CPU攻擊每秒可產(chǎn)生約10000個(gè)密碼,因此強(qiáng)烈建議使用受支持的GPU輔助恢復(fù)。單個(gè)NVIDIA GeForce 2070 RTX板的使用將恢復(fù)速度提高到每秒160萬個(gè)密碼,這樣可以找到相當(dāng)復(fù)雜的密碼。盡管如此,還是建議使用具有合理變異設(shè)置的目標(biāo)字典。
VirtualBox
VirtualBox是一款開源虛擬機(jī)軟件。VirtualBox是由德國(guó)Innotek公司開發(fā),由Sun Microsystems公司出品的軟件,使用Qt編寫,在Sun被Oracle收購(gòu)后正式更名成Oracle VM VirtualBox。
不過Oracle VirtualBox提供了最強(qiáng)的保護(hù)和最安全的加密,加密算法可以是AES-XTS128-PLAIN64或AES-XTS256-PLAIN64,而SHA-256哈希函數(shù)用于通過密碼派生加密密鑰。哈希迭代的次數(shù)取決于AES加密密鑰的長(zhǎng)度,高達(dá)120萬哈希迭代的驚人值。因此,僅使用cpu的攻擊速度非常慢,恢復(fù)速度只有每秒15個(gè)密碼。GPU輔助的攻擊速度要快得多,在單個(gè)NVIDIA GeForce 2070 RTX板上每秒可提供多達(dá)2700個(gè)密碼。除了良好的GPU外,取證人員強(qiáng)烈建議你使用針對(duì)性的字典和合理的變異設(shè)置。
攻擊虛擬機(jī)加密的步驟
取證人員將使用Elcomsoft Distributed Password Recovery來打開加密的虛擬機(jī),并設(shè)置對(duì)其密碼的攻擊。
為此,你將需要使用Elcomsoft Distributed Password Recovery 4.30或更高版本才能攻擊虛擬機(jī)密碼。為了發(fā)動(dòng)攻擊,你不需要打開整個(gè)容器,它可能非常大。相反,我們將使用虛擬機(jī)文件夾中相對(duì)較小的文件。對(duì)于Parallels,取證人員需要config.pvs文件。對(duì)于VirtualBox,取證人員需要.vbox文件。對(duì)于VMware,則是.vmx文件。這些文件很?。ㄖ挥袔讉€(gè)KB),是發(fā)動(dòng)攻擊所需的全部文件。
1.啟動(dòng)Elcomsoft Distributed Password Recovery 4.30或更高版本;
2.如下圖所示打開虛擬機(jī),對(duì)每種類型的虛擬機(jī)使用相應(yīng)的文件。
2.1對(duì)于Virtualbox,打開.vbox文件:
2.2對(duì)于VMware,打開.vmx文件:
2.3對(duì)于Parallels,從包含虛擬機(jī)的文件夾中打開config.pvs文件。
3.使用字典,變體或新的“規(guī)則”選項(xiàng)卡配置并啟動(dòng)攻擊,以使用John the Ripper語(yǔ)法設(shè)置混合攻擊,你可以在此文中了解有關(guān)混合攻擊的更多信息。John the Ripper是一個(gè)快速的密碼破解工具,用于在已知密文的情況下嘗試破解出明文,支持目前大多數(shù)的加密算法,如DES、MD4、MD5等。它支持多種不同類型的系統(tǒng)架構(gòu),包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是破解不夠牢固的Unix/Linux系統(tǒng)密碼。除了在各種Unix系統(tǒng)上最常見的幾種密碼哈希類型之外,它還支持Windows LM散列,以及社區(qū)增強(qiáng)版本中的許多其他哈希和密碼。它是一款開源軟件,Kali中自帶John。
一旦你發(fā)動(dòng)攻擊,你可以觀察恢復(fù)速度。Parallels將是最快的攻擊,即使只有一個(gè)CPU:
對(duì)于攻擊者來說,虛擬機(jī)的使用正在增加。普通虛擬機(jī)提供的易用性和保護(hù)級(jí)別使他們可以在虛擬保護(hù)傘下悄悄發(fā)起攻擊,從而減少了意外泄漏定罪證據(jù)的風(fēng)險(xiǎn)。本文所講的取證者構(gòu)建了一個(gè)工具,該工具將通過盡最大努力在盡可能短的時(shí)間內(nèi)破解加密密碼來幫助執(zhí)法機(jī)構(gòu)訪問存儲(chǔ)在加密虛擬機(jī)中的證據(jù)。
本文翻譯自:https://blog.elcomsoft.com/2020/10/the-rise-of-the-virtual-machines/https://blog.elcomsoft.com/2020/10/breaking-encrypted-virtual-machines-recovering-vmware-parallels-and-virtualbox-passwords/