信息化觀察網(wǎng)

從某種程度上來講，黑客是網(wǎng)絡(luò)前沿技術(shù)的掌握者，比如對虛擬機(jī)的使用。他們學(xué)習(xí)了如何在智能手機(jī)中隱藏信息以及如何對筆記本電腦進(jìn)行加密。攻擊者通過安全通道進(jìn)行通信，且從不讓密碼泄漏，且盡最大努力不留下任何痕跡。取證調(diào)查員每隔一天就會遇到新的挑戰(zhàn)。在本文中，取證人員將討論攻擊者用來掩蓋其蹤跡的另一種工具：加密的虛擬機(jī)。

由于虛擬機(jī)使用可移植的，獨立于硬件的環(huán)境來執(zhí)行與實際計算機(jī)基本相同的任務(wù)，在虛擬機(jī)內(nèi)部執(zhí)行的用戶活動大部分保留在虛擬機(jī)映像文件中，而不在主機(jī)上，因此很自然地限制了跟蹤的數(shù)量和威脅性。一些最受歡迎的虛擬機(jī)包括VirtualBox，Parallels和VMWare。雖然Microsoft提供了Hyper-V（在Windows 10上創(chuàng)建虛擬機(jī)的工具），但是Hyper-V提供了有限的加密選項，需要將Windows Server作為主機(jī)操作系統(tǒng)。由于這樣或那樣的原因，Hyper-V（微軟的一款虛擬化產(chǎn)品，是微軟第一個采用類似Vmware ESXi和Citrix Xen的基于hypervisor的技術(shù)）很少被攻擊者使用。

將虛擬機(jī)作為犯罪工具

可以對攻擊者使用的許多類型的虛擬機(jī)進(jìn)行安全加密，使用加密的虛擬機(jī)可以使攻擊者有機(jī)會隱瞞其在虛擬保護(hù)傘下的活動，降低了犯罪證據(jù)意外泄漏的風(fēng)險。

虛擬機(jī)通常具有多種攻擊優(yōu)勢，主要優(yōu)勢是與正常工作環(huán)境完全隔離。即使存在多種攻擊，這不會引起什么注意，如虛擬機(jī)逃脫。另一方面，虛擬機(jī)可提供完整的桌面體驗，可以針對虛擬機(jī)的特定用途進(jìn)行完全調(diào)整。其中大多數(shù)是合法用途，比如虛擬環(huán)境中的計算機(jī)取證分析。

在調(diào)查犯罪嫌疑人的計算機(jī)時，取證專家不僅可以簡單地對硬盤進(jìn)行映像，還可以制作功能齊全的虛擬機(jī)，以便進(jìn)行進(jìn)一步的取證現(xiàn)場調(diào)查，模擬真實計算機(jī)的工作。這提供了更多的可能性，例如從內(nèi)存中提取數(shù)據(jù)和密碼，在虛擬機(jī)上啟動取證映像。

當(dāng)然，這是一把雙刃劍。犯罪分子也使用虛擬機(jī)，今天比以往任何時候都要頻繁。這聽起來像是一個好主意，收集為達(dá)到目的所需的所有工具，準(zhǔn)備發(fā)起惡意軟件傳播或DDoS攻擊，破壞遠(yuǎn)程系統(tǒng)等。所有這些都不再是一勞永逸的工作，需要大量軟件、腳本和數(shù)據(jù)。

相反，他們需要準(zhǔn)備所需的一切，將其打包為虛擬機(jī)，將映像上傳到快速可靠的托管服務(wù)器，并隨身攜帶僅帶有裸機(jī)的筆記本電腦。到達(dá)最終位置后，他們可以快速下載映像，運(yùn)行該映像，然后從本地驅(qū)動器中將其刪除，具體請查看《Maze勒索軟件攻擊者如何通過虛擬逃避檢測》。

在上面的描述中，我故意省略了關(guān)鍵步驟。像大多數(shù)數(shù)據(jù)一樣，虛擬機(jī)映像可以受密碼保護(hù)。在已經(jīng)發(fā)現(xiàn)的攻擊樣本中，就有攻擊者使用了多個受密碼保護(hù)的虛擬機(jī)。不過本文的研究方法是通過提取密碼哈希來手動恢復(fù)密碼，然后使用文中提取的工具恢復(fù)它們，本文提到的工具是Distributed Password Recovery，其開發(fā)者已經(jīng)將手動恢復(fù)密碼功能添加到其中了。

解鎖虛擬機(jī)后，還有很多工作要做，具體請參閱《計算機(jī)取證：虛擬系統(tǒng)的取證問題》、《計算機(jī)取證：如何通過虛擬機(jī)取證證據(jù)數(shù)據(jù)》。

如果虛擬機(jī)需要新的密碼，例如，有Windows帳戶密碼或BitLocker保護(hù)，請使用Elcomsoft System Recovery。進(jìn)入后，我建議首先運(yùn)行Elcomsoft Internet Password Breaker，以收集保存在Web瀏覽器中的所有密碼。

如何破解加密的虛擬機(jī)：恢復(fù)VMWare、Parallels和VirtualBox的密碼

如上所述，虛擬機(jī)使用可移植的，獨立于硬件的環(huán)境來執(zhí)行與實際計算機(jī)基本相同的角色。在虛擬保護(hù)傘下執(zhí)行的活動將線索留在虛擬機(jī)映像文件中，而不是在主機(jī)上。執(zhí)行數(shù)字調(diào)查時，分析虛擬機(jī)的功能變得至關(guān)重要。

攻擊者使用的許多類型的虛擬機(jī)均具有安全加密功能，由于只有在可以提供原始加密密碼的情況下，才能訪問存儲在加密的虛擬機(jī)映像中的證據(jù)。因此取證人員構(gòu)建了一個工具，使專家可以對密碼執(zhí)行硬件加速的分布式攻擊，從而保護(hù)由VMWare，Parallels和VirtualBox創(chuàng)建的加密擬機(jī)映像。

虛擬機(jī)加密

可以加密整個映像的最常見虛擬機(jī)是Parallels，VMWare和VirtualBox。但是，這些虛擬機(jī)之間的加密強(qiáng)度和由此產(chǎn)生的密碼恢復(fù)速度差異很大。讓取證人員看一下這三個虛擬機(jī)的開發(fā)人員為保護(hù)其內(nèi)容所做的工作。

Parallels

Parallels Desktop被稱為macOS上最強(qiáng)大的虛擬機(jī)軟件。可以在Mac下同時模擬運(yùn)行Win、Linux、Android等多種操作系統(tǒng)及軟件而不必重啟電腦，并能在不同系統(tǒng)間隨意切換。

雖然如此，Parallels在這三家公司中的保護(hù)力度最弱，雖然Parallels使用AES-128 CBC算法對數(shù)據(jù)進(jìn)行加密，但加密密鑰是通過過時的MD5哈希函數(shù)的僅有的兩次迭代獲得的。因此，Parallels的攻擊速度最快。在Intel i7處理器上，研究人員已經(jīng)能夠達(dá)到每秒1900萬個密碼的速度。有了這樣的速度，即使沒有GPU加速，也可以恢復(fù)相當(dāng)復(fù)雜的密碼。這樣的速度足以使用普通的暴力破解來發(fā)現(xiàn)簡單的密碼，而更復(fù)雜的密碼仍然需要使用字典攻擊。

VMware

VMvare使用相同的AES-128加密算法，但是，其實際保護(hù)與Parallels相比則不同。VMware使用10000輪更強(qiáng)的PBKDF-SHA1哈希從密碼中獲得加密密鑰。純CPU攻擊每秒可產(chǎn)生約10000個密碼，因此強(qiáng)烈建議使用受支持的GPU輔助恢復(fù)。單個NVIDIA GeForce 2070 RTX板的使用將恢復(fù)速度提高到每秒160萬個密碼，這樣可以找到相當(dāng)復(fù)雜的密碼。盡管如此，還是建議使用具有合理變異設(shè)置的目標(biāo)字典。

VirtualBox

VirtualBox是一款開源虛擬機(jī)軟件。VirtualBox是由德國Innotek公司開發(fā)，由Sun Microsystems公司出品的軟件，使用Qt編寫，在Sun被Oracle收購后正式更名成Oracle VM VirtualBox。

不過Oracle VirtualBox提供了最強(qiáng)的保護(hù)和最安全的加密，加密算法可以是AES-XTS128-PLAIN64或AES-XTS256-PLAIN64，而SHA-256哈希函數(shù)用于通過密碼派生加密密鑰。哈希迭代的次數(shù)取決于AES加密密鑰的長度，高達(dá)120萬哈希迭代的驚人值。因此，僅使用cpu的攻擊速度非常慢，恢復(fù)速度只有每秒15個密碼。GPU輔助的攻擊速度要快得多，在單個NVIDIA GeForce 2070 RTX板上每秒可提供多達(dá)2700個密碼。除了良好的GPU外，取證人員強(qiáng)烈建議你使用針對性的字典和合理的變異設(shè)置。

攻擊虛擬機(jī)加密的步驟

取證人員將使用Elcomsoft Distributed Password Recovery來打開加密的虛擬機(jī)，并設(shè)置對其密碼的攻擊。

為此，你將需要使用Elcomsoft Distributed Password Recovery 4.30或更高版本才能攻擊虛擬機(jī)密碼。為了發(fā)動攻擊，你不需要打開整個容器，它可能非常大。相反，我們將使用虛擬機(jī)文件夾中相對較小的文件。對于Parallels，取證人員需要config.pvs文件。對于VirtualBox，取證人員需要.vbox文件。對于VMware，則是.vmx文件。這些文件很小（只有幾個KB），是發(fā)動攻擊所需的全部文件。

1.啟動Elcomsoft Distributed Password Recovery 4.30或更高版本；

2.如下圖所示打開虛擬機(jī)，對每種類型的虛擬機(jī)使用相應(yīng)的文件。

2.1對于Virtualbox，打開.vbox文件：

2.2對于VMware，打開.vmx文件：

2.3對于Parallels，從包含虛擬機(jī)的文件夾中打開config.pvs文件。

3.使用字典，變體或新的“規(guī)則”選項卡配置并啟動攻擊，以使用John the Ripper語法設(shè)置混合攻擊，你可以在此文中了解有關(guān)混合攻擊的更多信息。John the Ripper是一個快速的密碼破解工具，用于在已知密文的情況下嘗試破解出明文，支持目前大多數(shù)的加密算法，如DES、MD4、MD5等。它支持多種不同類型的系統(tǒng)架構(gòu)，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不夠牢固的Unix/Linux系統(tǒng)密碼。除了在各種Unix系統(tǒng)上最常見的幾種密碼哈希類型之外，它還支持Windows LM散列，以及社區(qū)增強(qiáng)版本中的許多其他哈希和密碼。它是一款開源軟件，Kali中自帶John。

一旦你發(fā)動攻擊，你可以觀察恢復(fù)速度。Parallels將是最快的攻擊，即使只有一個CPU：

對于攻擊者來說，虛擬機(jī)的使用正在增加。普通虛擬機(jī)提供的易用性和保護(hù)級別使他們可以在虛擬保護(hù)傘下悄悄發(fā)起攻擊，從而減少了意外泄漏定罪證據(jù)的風(fēng)險。本文所講的取證者構(gòu)建了一個工具，該工具將通過盡最大努力在盡可能短的時間內(nèi)破解加密密碼來幫助執(zhí)法機(jī)構(gòu)訪問存儲在加密虛擬機(jī)中的證據(jù)。

本文翻譯自：https://blog.elcomsoft.com/2020/10/the-rise-of-the-virtual-machines/https://blog.elcomsoft.com/2020/10/breaking-encrypted-virtual-machines-recovering-vmware-parallels-and-virtualbox-passwords/