Şifrelenmiş Sanal Makineleri Kırma: VMWare, Parallels ve VirtualBox Parolalarını Kurtarma

Bildiğiniz üzere sanal makineler gerçek bilgisayardaki mevcut işletim sistemi üzerinde bir işletim sistemi daha çalıştırmaya yarayan sanallaştırma tahlillerinden birisi. Sanal makineler üzerinde yapılan aktiviteler genelde ana bilgisayarda değil, sanal makinenin kendisinde izler bırakıyor. Bu nedenle dijital araştırmalar kelam konusu olduğunda bu sanal makineleri açmak, denetim ve tahlil etmek ekstra ehemmiyet kazanıyor.

Cürüm dünyasında kullanılan sanal makine yazılımlarının birçoğu şifreleme takviyesi sunuyor ancak ispatların bulunması için bunların incelenmesi gerekmekte. İşte tam bu nedenle ElcomSoft, çeşitli sanal makine yazılımları tarafından şifrelenen ispatlara erişmek için bir şifre kırma yazılımı geliştirdi.

Piyasada şu anda tüm makineyi şifrelemeye yarayan üç sanal makine yazılımı mevcut. Bunlar VirtualBox, Parallels ve VMWare yazılımlarıdır. Kullanılan şifreleme yeteneği, gücü ve kırılma suratları da bu üç yazılım ortasında değişkenlik göstermekte. İsterseniz süreçleri anlatmadan evvel bu üç sanal makinenin şifrelemesini inceleyelim.

Parallels: En Kolay Şifrelemeye Sahip

Bahsettiğimiz üç yazılım ortasında en kolay müdafaaya sahip olanı Parallels. Parallels, şifreleme yapmak için AES-128 CBC algoritmasından yararlanıyor. Şifreleme için kullanılan anahtar ise MD5 hash algoritmasının iki sefer tarihli bir yinelemesinden oluşmakta. Bu nedenle kırılması en kolay olan Parallels yazılımıdır. Elcomsoft araştırmacılarının belirttiğine nazaran, tek bir Intel i7 işlemci ile saniyede 19 milyon parola deneme suratına ulaşıldı. Bu üzere inanılmaz süratlerde rastgele bir GPU kullanmadan bile şifrelere ulaşmak epey kolay ve kolay. Bu sürat, kolay ve olağan şifreleri rahatça kırabilmek için kâfi lakin biraz daha karmaşık olanlar için çeşitli sözlüklerin kullanılması gerekebilir.

VMware: Orta Seviye Şifreleme

Bahsettiğimiz üç sanallaştırma yazılımından bir tanesi olan VMware de aynı formda AES-128 bit şifreleme algoritmasını kullanıyor ancak burada işleyiş Parallels’den daha farklı. VMware, sanal makineleri şifrelemek ve bir şifre anahtarı üretmek için 10.000 kat daha güçlü olan PBKDF-SHA1’den yararlanıyor. İşlemci kullanarak yapılacak bir kırma sürecinde saniyede 10.000 şifre denenebiliyor ancak bu yetersiz bir sürat olduğundan GPU hızlandırma ile sürecin tekrardan başlatılması tavsiye ediliyor. Sadece bir adet Nvidia GeForce RTX 2070 GPU kullanarak saniyede 1.6 milyon parola denemesine ulaşılabiliyor. Bu sayede karmaşık şifreleri GPU yardımıyla daha kolay bulabilirsiniz. Daha kesin sonuçlar elde edebilmek için çeşitli sözlüklerle kaba kuvvet saldırısı yapılması da tavsiye edilir.

VirtualBox: Üst Seviye Şifreleme

Oracle VM VirtualBox, 3 yazılım ortasından en yeterli şifrelemeye sahip olan ve uygulayan yazılım. Şifreleme algoritması olarak AES-XTS128-Plain64 yahut AES-XTS256-Plain64 kullanılabilirken, şifrelemede kullanılan anahtarı üretmek için de SHA-256 hash algoritmasından yararlanıyor. Hash yineleme sayısı ise AES anahtarına bağlı olmakla birlikte, 1.2 milyona kadar enteresan hash yineleme sayılarına ulaşabiliyor. Burada CPU ile yapılan taarruzlar epey yetersiz kalacaktır zira saniyede 15 deneme hayli yavaş. GPU dayanaklı kırma süreçleri ise yeniden her vakit olduğu üzere işlemciden çok daha süratli: NVIDIA GeForce RTX 2070 kullanılarak yapılan bir akında saniyede 2700 deneme yapılabiliyor. Bu şifreleri kırabilmek için uygun bir kelamlık ile bir arada güçlü bir GPU kullanmanızı tavsiye ederiz.

ElcomSoft Distributed Password Recovery Kullanımı

Sanal makinelerin parolasını öğrenmek emeliyle akın yapmak için ElcomSoft Distributed Password Recovery yazılımının 4.30 yahut daha yeni sürümlerine gereksiniminiz var. Süreci yapmak için container’in tamamını kullanmaya gerek yok. Bunun yerine sanal makinenin küçük evraklarından birisini kullanacağız. Parallels için config.pvs belgesine, VirtualBox için buna karşılık gelen “.vbox” belgesine ve VMware için de hayli küçük “.vmx” evrakına muhtaçlığımız var.

1. ElcomSoft Distributed Password Recovery 4.30 yahut daha yeni sürümü başlatalım.
2. Aşağıdaki ekran manzaralarında gösterildiği üzere sanal makinelerin evraklarını seçin ve aç diyerek devam edin.

• VirtualBox için “.vbox” belgesini,

• VMware için “.vmx” belgesini,

• Parallels içinse “config.pvs” evrakını seçin.

• Gereken sanal makine evraklarını seçtikten sonra kurallar sekmesini kullanarak çeşitli sözlükler ekleyebilir, JohnTheRipper syntax kullanarak saldırıyı yapabilirsiniz.

Şifreyi kırmak için saldırıyı başlattığınızda deneme yaptığınız Parallels yazılımına ilişkin bir makine ise sadece işlemcileri kullanabilirsiniz çünkü kırma süreci için pek kâfi seviyedeler. VMware ve VirtualBox kullanan sanal makineleri incelemeniz gerektiğindeyse güçlü bir GPU ve kimi vakit çeşitli sözlükleri kullanmak işinizi görecektir.

Sonuç

Siber dünyada isimli bir makamda çalışıyorsanız, sanal makinedeki çeşitli kanıtları elde etmek emeliyle ElcomSoft’un oldukça verimli olan bu yazılımından yararlanabilirsiniz.

Kaynak: Technopat