從某種程度上來講，黑客是網絡前沿技術的掌握者，比如對虛擬機的使用。他們學習了如何在智能手機中隱藏信息以及如何對筆記本電腦進行加密。攻擊者通過安全通道進行通信，且從不讓密碼泄漏，且盡最大努力不留下任何痕跡。取證調查員每隔一天就會遇到新的挑戰。在本文中，取證人員將討論攻擊者用來掩蓋其蹤跡的另一種工具：加密的虛擬機。

由于虛擬機使用可移植的，獨立于硬件的環境來執行與實際計算機基本相同的任務，在虛擬機內部執行的用戶活動大部分保留在虛擬機映像文件中，而不在主機上，因此很自然地限制了跟蹤的數量和威脅性。一些最受歡迎的虛擬機包括VirtualBox，Parallels和VMWare。雖然Microsoft提供了Hyper-V(在Windows 10上創建虛擬機的工具)，但是Hyper-V提供了有限的加密選項，需要將Windows Server作為主機操作系統。由于這樣或那樣的原因，Hyper-V(微軟的一款虛擬化產品，是微軟第一個采用類似Vmware ESXi和Citrix Xen的基于hypervisor的技術)很少被攻擊者使用。

將虛擬機作為犯罪工具

可以對攻擊者使用的許多類型的虛擬機進行安全加密，使用加密的虛擬機可以使攻擊者有機會隱瞞其在虛擬保護傘下的活動，降低了犯罪證據意外泄漏的風險。

虛擬機通常具有多種攻擊優勢，主要優勢是與正常工作環境完全隔離。即使存在多種攻擊，這不會引起什么注意，如虛擬機逃脫。另一方面，虛擬機可提供完整的桌面體驗，可以針對虛擬機的特定用途進行完全調整。其中大多數是合法用途，比如虛擬環境中的計算機取證分析。

在調查犯罪嫌疑人的計算機時，取證專家不僅可以簡單地對硬盤進行映像，還可以制作功能齊全的虛擬機，以便進行進一步的取證現場調查，模擬真實計算機的工作。這提供了更多的可能性，例如從內存中提取數據和密碼，在虛擬機上啟動取證映像。

當然，這是一把雙刃劍。犯罪分子也使用虛擬機，今天比以往任何時候都要頻繁。這聽起來像是一個好主意，收集為達到目的所需的所有工具，準備發起惡意軟件傳播或DDoS攻擊，破壞遠程系統等。所有這些都不再是一勞永逸的工作，需要大量軟件、腳本和數據。

相反，他們需要準備所需的一切，將其打包為虛擬機，將映像上傳到快速可靠的托管服務器，并隨身攜帶僅帶有裸機的筆記本電腦。到達最終位置后，他們可以快速下載映像，運行該映像，然后從本地驅動器中將其刪除，具體請查看《Maze勒索軟件攻擊者如何通過虛擬逃避檢測》。

在上面的描述中，我故意省略了關鍵步驟。像大多數數據一樣，虛擬機映像可以受密碼保護。在已經發現的攻擊樣本中，就有攻擊者使用了多個受密碼保護的虛擬機。不過本文的研究方法是通過提取密碼哈希來手動恢復密碼，然后使用文中提取的工具恢復它們，本文提到的工具是Distributed Password Recovery，其開發者已經將手動恢復密碼功能添加到其中了。

如果虛擬機需要新的密碼，例如，有Windows帳戶密碼或BitLocker保護，請使用Elcomsoft System Recovery 。進入后，我建議首先運行Elcomsoft Internet Password Breaker ，以收集保存在Web瀏覽器中的所有密碼。

如何破解加密的虛擬機：恢復VMWare、Parallels和VirtualBox的密碼

如上所述，虛擬機使用可移植的，獨立于硬件的環境來執行與實際計算機基本相同的角色。在虛擬保護傘下執行的活動將線索留在虛擬機映像文件中，而不是在主機上。執行數字調查時，分析虛擬機的功能變得至關重要。

攻擊者使用的許多類型的虛擬機均具有安全加密功能，由于只有在可以提供原始加密密碼的情況下，才能訪問存儲在加密的虛擬機映像中的證據。因此取證人員構建了一個工具，使專家可以對密碼執行硬件加速的分布式攻擊，從而保護由VMWare，Parallels和VirtualBox創建的加密擬機映像。

虛擬機加密

可以加密整個映像的最常見虛擬機是Parallels，VMWare和VirtualBox。但是，這些虛擬機之間的加密強度和由此產生的密碼恢復速度差異很大。讓取證人員看一下這三個虛擬機的開發人員為保護其內容所做的工作。

(1) Parallels

Parallels Desktop 被稱為 macOS 上最強大的虛擬機軟件。可以在 Mac 下同時模擬運行 Win、Linux、Android 等多種操作系統及軟件而不必重啟電腦，并能在不同系統間隨意切換。

雖然如此，Parallels在這三家公司中的保護力度最弱，雖然Parallels使用AES-128 CBC算法對數據進行加密，但加密密鑰是通過過時的MD5哈希函數的僅有的兩次迭代獲得的。因此，Parallels的攻擊速度最快。在Intel i7處理器上，研究人員已經能夠達到每秒1900萬個密碼的速度。有了這樣的速度，即使沒有GPU加速，也可以恢復相當復雜的密碼。這樣的速度足以使用普通的暴力破解來發現簡單的密碼，而更復雜的密碼仍然需要使用字典攻擊。

(2) VMware

VMvare使用相同的AES-128加密算法，但是，其實際保護與Parallels相比則不同。 VMware使用10000輪更強的PBKDF-SHA1哈希從密碼中獲得加密密鑰。純CPU攻擊每秒可產生約10000個密碼，因此強烈建議使用受支持的GPU輔助恢復。單個NVIDIA GeForce 2070 RTX板的使用將恢復速度提高到每秒160萬個密碼，這樣可以找到相當復雜的密碼。盡管如此，還是建議使用具有合理變異設置的目標字典。

(3) VirtualBox

VirtualBox 是一款開源虛擬機軟件。VirtualBox 是由德國 Innotek 公司開發，由Sun Microsystems公司出品的軟件，使用Qt編寫，在 Sun 被 Oracle 收購后正式更名成 Oracle VM VirtualBox。

不過Oracle VirtualBox提供了最強的保護和最安全的加密，加密算法可以是AES-XTS128-PLAIN64或AES-XTS256-PLAIN64，而SHA-256哈希函數用于通過密碼派生加密密鑰。哈希迭代的次數取決于AES加密密鑰的長度，高達120萬哈希迭代的驚人值。因此，僅使用cpu的攻擊速度非常慢，恢復速度只有每秒15個密碼。GPU輔助的攻擊速度要快得多，在單個NVIDIA GeForce 2070 RTX板上每秒可提供多達2700個密碼。除了良好的GPU外，取證人員強烈建議你使用針對性的字典和合理的變異設置。

攻擊虛擬機加密的步驟

取證人員將使用 Elcomsoft Distributed Password Recovery 來打開加密的虛擬機，并設置對其密碼的攻擊。

為此，你將需要使用Elcomsoft Distributed Password Recovery 4.30或更高版本才能攻擊虛擬機密碼。為了發動攻擊，你不需要打開整個容器，它可能非常大。相反，我們將使用虛擬機文件夾中相對較小的文件。對于Parallels，取證人員需要config.pvs文件。對于VirtualBox，取證人員需要.vbox文件。對于VMware，則是.vmx文件。這些文件很小(只有幾個KB)，是發動攻擊所需的全部文件。

(1) 啟動Elcomsoft Distributed Password Recovery 4.30 或更高版本;

(2) 如下圖所示打開虛擬機，對每種類型的虛擬機使用相應的文件。

對于Virtualbox，打開.vbox文件：

對于VMware，打開.vmx文件：

對于Parallels，從包含虛擬機的文件夾中打開config.pvs文件。

(3) 使用字典，變體或新的“規則”選項卡配置并啟動攻擊，以使用John the Ripper語法設置混合攻擊，你可以在此文中了解有關混合攻擊的更多信息。John the Ripper是一個快速的密碼破解工具，用于在已知密文的情況下嘗試破解出明文，支持目前大多數的加密算法，如DES、MD4、MD5等。它支持多種不同類型的系統架構，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不夠牢固的Unix/Linux系統密碼。

除了在各種Unix系統上最常見的幾種密碼哈希類型之外，它還支持Windows LM散列，以及社區增強版本中的許多其他哈希和密碼。它是一款開源軟件，Kali中自帶John。

一旦你發動攻擊，你可以觀察恢復速度。Parallels將是最快的攻擊，即使只有一個CPU：

對于攻擊者來說，虛擬機的使用正在增加。普通虛擬機提供的易用性和保護級別使他們可以在虛擬保護傘下悄悄發起攻擊，從而減少了意外泄漏定罪證據的風險。本文所講的取證者構建了一個工具，該工具將通過盡最大努力在盡可能短的時間內破解加密密碼來幫助執法機構訪問存儲在加密虛擬機中的證據。

本文翻譯自：

https://blog.elcomsoft.com/2020/10/the-rise-of-the-virtual-machines/ https://blog.elcomsoft.com/2020/10/breaking-encrypted-virtual-machines-recovering-vmware-parallels-and-virtualbox-passwords/