從某種程度上來(lái)講，黑客是網(wǎng)絡(luò)前沿技術(shù)的掌握者，比如對(duì)虛擬機(jī)的使用。他們學(xué)習(xí)了如何在智能手機(jī)中隱藏信息以及如何對(duì)筆記本電腦進(jìn)行加密。攻擊者通過(guò)安全通道進(jìn)行通信，且從不讓密碼泄漏，且盡最大努力不留下任何痕跡。取證調(diào)查員每隔一天就會(huì)遇到新的挑戰(zhàn)。在本文中，取證人員將討論攻擊者用來(lái)掩蓋其蹤跡的另一種工具：加密的虛擬機(jī)。

由于虛擬機(jī)使用可移植的，獨(dú)立于硬件的環(huán)境來(lái)執(zhí)行與實(shí)際計(jì)算機(jī)基本相同的任務(wù)，在虛擬機(jī)內(nèi)部執(zhí)行的用戶(hù)活動(dòng)大部分保留在虛擬機(jī)映像文件中，而不在主機(jī)上，因此很自然地限制了跟蹤的數(shù)量和威脅性。一些最受歡迎的虛擬機(jī)包括VirtualBox，Parallels和VMWare。雖然Microsoft提供了Hyper-V(在Windows 10上創(chuàng)建虛擬機(jī)的工具)，但是Hyper-V提供了有限的加密選項(xiàng)，需要將Windows Server作為主機(jī)操作系統(tǒng)。由于這樣或那樣的原因，Hyper-V(微軟的一款虛擬化產(chǎn)品，是微軟第一個(gè)采用類(lèi)似Vmware ESXi和Citrix Xen的基于hypervisor的技術(shù))很少被攻擊者使用。

將虛擬機(jī)作為犯罪工具

可以對(duì)攻擊者使用的許多類(lèi)型的虛擬機(jī)進(jìn)行安全加密，使用加密的虛擬機(jī)可以使攻擊者有機(jī)會(huì)隱瞞其在虛擬保護(hù)傘下的活動(dòng)，降低了犯罪證據(jù)意外泄漏的風(fēng)險(xiǎn)。

虛擬機(jī)通常具有多種攻擊優(yōu)勢(shì)，主要優(yōu)勢(shì)是與正常工作環(huán)境完全隔離。即使存在多種攻擊，這不會(huì)引起什么注意，如虛擬機(jī)逃脫。另一方面，虛擬機(jī)可提供完整的桌面體驗(yàn)，可以針對(duì)虛擬機(jī)的特定用途進(jìn)行完全調(diào)整。其中大多數(shù)是合法用途，比如虛擬環(huán)境中的計(jì)算機(jī)取證分析。

在調(diào)查犯罪嫌疑人的計(jì)算機(jī)時(shí)，取證專(zhuān)家不僅可以簡(jiǎn)單地對(duì)硬盤(pán)進(jìn)行映像，還可以制作功能齊全的虛擬機(jī)，以便進(jìn)行進(jìn)一步的取證現(xiàn)場(chǎng)調(diào)查，模擬真實(shí)計(jì)算機(jī)的工作。這提供了更多的可能性，例如從內(nèi)存中提取數(shù)據(jù)和密碼，在虛擬機(jī)上啟動(dòng)取證映像。

當(dāng)然，這是一把雙刃劍。犯罪分子也使用虛擬機(jī)，今天比以往任何時(shí)候都要頻繁。這聽(tīng)起來(lái)像是一個(gè)好主意，收集為達(dá)到目的所需的所有工具，準(zhǔn)備發(fā)起惡意軟件傳播或DDoS攻擊，破壞遠(yuǎn)程系統(tǒng)等。所有這些都不再是一勞永逸的工作，需要大量軟件、腳本和數(shù)據(jù)。

相反，他們需要準(zhǔn)備所需的一切，將其打包為虛擬機(jī)，將映像上傳到快速可靠的托管服務(wù)器，并隨身攜帶僅帶有裸機(jī)的筆記本電腦。到達(dá)最終位置后，他們可以快速下載映像，運(yùn)行該映像，然后從本地驅(qū)動(dòng)器中將其刪除，具體請(qǐng)查看《Maze勒索軟件攻擊者如何通過(guò)虛擬逃避檢測(cè)》。

在上面的描述中，我故意省略了關(guān)鍵步驟。像大多數(shù)數(shù)據(jù)一樣，虛擬機(jī)映像可以受密碼保護(hù)。在已經(jīng)發(fā)現(xiàn)的攻擊樣本中，就有攻擊者使用了多個(gè)受密碼保護(hù)的虛擬機(jī)。不過(guò)本文的研究方法是通過(guò)提取密碼哈希來(lái)手動(dòng)恢復(fù)密碼，然后使用文中提取的工具恢復(fù)它們，本文提到的工具是Distributed Password Recovery，其開(kāi)發(fā)者已經(jīng)將手動(dòng)恢復(fù)密碼功能添加到其中了。

如果虛擬機(jī)需要新的密碼，例如，有Windows帳戶(hù)密碼或BitLocker保護(hù)，請(qǐng)使用Elcomsoft System Recovery 。進(jìn)入后，我建議首先運(yùn)行Elcomsoft Internet Password Breaker ，以收集保存在Web瀏覽器中的所有密碼。

如何破解加密的虛擬機(jī)：恢復(fù)VMWare、Parallels和VirtualBox的密碼

如上所述，虛擬機(jī)使用可移植的，獨(dú)立于硬件的環(huán)境來(lái)執(zhí)行與實(shí)際計(jì)算機(jī)基本相同的角色。在虛擬保護(hù)傘下執(zhí)行的活動(dòng)將線索留在虛擬機(jī)映像文件中，而不是在主機(jī)上。執(zhí)行數(shù)字調(diào)查時(shí)，分析虛擬機(jī)的功能變得至關(guān)重要。

攻擊者使用的許多類(lèi)型的虛擬機(jī)均具有安全加密功能，由于只有在可以提供原始加密密碼的情況下，才能訪問(wèn)存儲(chǔ)在加密的虛擬機(jī)映像中的證據(jù)。因此取證人員構(gòu)建了一個(gè)工具，使專(zhuān)家可以對(duì)密碼執(zhí)行硬件加速的分布式攻擊，從而保護(hù)由VMWare，Parallels和VirtualBox創(chuàng)建的加密擬機(jī)映像。

虛擬機(jī)加密

可以加密整個(gè)映像的最常見(jiàn)虛擬機(jī)是Parallels，VMWare和VirtualBox。但是，這些虛擬機(jī)之間的加密強(qiáng)度和由此產(chǎn)生的密碼恢復(fù)速度差異很大。讓取證人員看一下這三個(gè)虛擬機(jī)的開(kāi)發(fā)人員為保護(hù)其內(nèi)容所做的工作。

(1) Parallels

Parallels Desktop 被稱(chēng)為 macOS 上最強(qiáng)大的虛擬機(jī)軟件。可以在 Mac 下同時(shí)模擬運(yùn)行 Win、Linux、Android 等多種操作系統(tǒng)及軟件而不必重啟電腦，并能在不同系統(tǒng)間隨意切換。

雖然如此，Parallels在這三家公司中的保護(hù)力度最弱，雖然Parallels使用AES-128 CBC算法對(duì)數(shù)據(jù)進(jìn)行加密，但加密密鑰是通過(guò)過(guò)時(shí)的MD5哈希函數(shù)的僅有的兩次迭代獲得的。因此，Parallels的攻擊速度最快。在Intel i7處理器上，研究人員已經(jīng)能夠達(dá)到每秒1900萬(wàn)個(gè)密碼的速度。有了這樣的速度，即使沒(méi)有GPU加速，也可以恢復(fù)相當(dāng)復(fù)雜的密碼。這樣的速度足以使用普通的暴力破解來(lái)發(fā)現(xiàn)簡(jiǎn)單的密碼，而更復(fù)雜的密碼仍然需要使用字典攻擊。

(2) VMware

VMvare使用相同的AES-128加密算法，但是，其實(shí)際保護(hù)與Parallels相比則不同。 VMware使用10000輪更強(qiáng)的PBKDF-SHA1哈希從密碼中獲得加密密鑰。純CPU攻擊每秒可產(chǎn)生約10000個(gè)密碼，因此強(qiáng)烈建議使用受支持的GPU輔助恢復(fù)。單個(gè)NVIDIA GeForce 2070 RTX板的使用將恢復(fù)速度提高到每秒160萬(wàn)個(gè)密碼，這樣可以找到相當(dāng)復(fù)雜的密碼。盡管如此，還是建議使用具有合理變異設(shè)置的目標(biāo)字典。

(3) VirtualBox

VirtualBox 是一款開(kāi)源虛擬機(jī)軟件。VirtualBox 是由德國(guó) Innotek 公司開(kāi)發(fā)，由Sun Microsystems公司出品的軟件，使用Qt編寫(xiě)，在 Sun 被 Oracle 收購(gòu)后正式更名成 Oracle VM VirtualBox。

不過(guò)Oracle VirtualBox提供了最強(qiáng)的保護(hù)和最安全的加密，加密算法可以是AES-XTS128-PLAIN64或AES-XTS256-PLAIN64，而SHA-256哈希函數(shù)用于通過(guò)密碼派生加密密鑰。哈希迭代的次數(shù)取決于AES加密密鑰的長(zhǎng)度，高達(dá)120萬(wàn)哈希迭代的驚人值。因此，僅使用cpu的攻擊速度非常慢，恢復(fù)速度只有每秒15個(gè)密碼。GPU輔助的攻擊速度要快得多，在單個(gè)NVIDIA GeForce 2070 RTX板上每秒可提供多達(dá)2700個(gè)密碼。除了良好的GPU外，取證人員強(qiáng)烈建議你使用針對(duì)性的字典和合理的變異設(shè)置。

攻擊虛擬機(jī)加密的步驟

取證人員將使用 Elcomsoft Distributed Password Recovery 來(lái)打開(kāi)加密的虛擬機(jī)，并設(shè)置對(duì)其密碼的攻擊。

為此，你將需要使用Elcomsoft Distributed Password Recovery 4.30或更高版本才能攻擊虛擬機(jī)密碼。為了發(fā)動(dòng)攻擊，你不需要打開(kāi)整個(gè)容器，它可能非常大。相反，我們將使用虛擬機(jī)文件夾中相對(duì)較小的文件。對(duì)于Parallels，取證人員需要config.pvs文件。對(duì)于VirtualBox，取證人員需要.vbox文件。對(duì)于VMware，則是.vmx文件。這些文件很小(只有幾個(gè)KB)，是發(fā)動(dòng)攻擊所需的全部文件。

(1) 啟動(dòng)Elcomsoft Distributed Password Recovery 4.30 或更高版本;

(2) 如下圖所示打開(kāi)虛擬機(jī)，對(duì)每種類(lèi)型的虛擬機(jī)使用相應(yīng)的文件。

對(duì)于Virtualbox，打開(kāi).vbox文件：

對(duì)于VMware，打開(kāi).vmx文件：

對(duì)于Parallels，從包含虛擬機(jī)的文件夾中打開(kāi)config.pvs文件。

(3) 使用字典，變體或新的“規(guī)則”選項(xiàng)卡配置并啟動(dòng)攻擊，以使用John the Ripper語(yǔ)法設(shè)置混合攻擊，你可以在此文中了解有關(guān)混合攻擊的更多信息。John the Ripper是一個(gè)快速的密碼破解工具，用于在已知密文的情況下嘗試破解出明文，支持目前大多數(shù)的加密算法，如DES、MD4、MD5等。它支持多種不同類(lèi)型的系統(tǒng)架構(gòu)，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不夠牢固的Unix/Linux系統(tǒng)密碼。

除了在各種Unix系統(tǒng)上最常見(jiàn)的幾種密碼哈希類(lèi)型之外，它還支持Windows LM散列，以及社區(qū)增強(qiáng)版本中的許多其他哈希和密碼。它是一款開(kāi)源軟件，Kali中自帶John。

一旦你發(fā)動(dòng)攻擊，你可以觀察恢復(fù)速度。Parallels將是最快的攻擊，即使只有一個(gè)CPU：

對(duì)于攻擊者來(lái)說(shuō)，虛擬機(jī)的使用正在增加。普通虛擬機(jī)提供的易用性和保護(hù)級(jí)別使他們可以在虛擬保護(hù)傘下悄悄發(fā)起攻擊，從而減少了意外泄漏定罪證據(jù)的風(fēng)險(xiǎn)。本文所講的取證者構(gòu)建了一個(gè)工具，該工具將通過(guò)盡最大努力在盡可能短的時(shí)間內(nèi)破解加密密碼來(lái)幫助執(zhí)法機(jī)構(gòu)訪問(wèn)存儲(chǔ)在加密虛擬機(jī)中的證據(jù)。

本文翻譯自：

https://blog.elcomsoft.com/2020/10/the-rise-of-the-virtual-machines/ https://blog.elcomsoft.com/2020/10/breaking-encrypted-virtual-machines-recovering-vmware-parallels-and-virtualbox-passwords/