Anasayfa Makale Şifrelenmiş Sanal Makineleri Kırma: VMWare, Parallels ve VirtualBox Parolalarını Kurtarma

Şifrelenmiş Sanal Makineleri Kırma: VMWare, Parallels ve VirtualBox Parolalarını Kurtarma

virtualbox Linux Kernel 5.8 desteği

Elcomsoft Distributed Password Recovery kullanarak VMWare, Parallels ve VirtualBox sanal makinelerin şifresini kırma işlemini anlatıyoruz.

Bildiğiniz üzere sanal makineler gerçek bilgisayardaki mevcut işletim sistemi üzerinde bir işletim sistemi daha çalıştırmaya yarayan sanallaştırma çözümlerinden birisi. Sanal makineler üzerinde yapılan aktiviteler genelde ana bilgisayarda değil, sanal makinenin kendisinde izler bırakıyor. Bu nedenle dijital araştırmalar söz konusu olduğunda bu sanal makineleri açmak, kontrol ve analiz etmek ekstra önem kazanıyor.

Suç dünyasında kullanılan sanal makine yazılımlarının birçoğu şifreleme desteği sunuyor fakat kanıtların bulunması için bunların incelenmesi gerekmekte. İşte tam bu nedenle ElcomSoft, çeşitli sanal makine yazılımları tarafından şifrelenen kanıtlara erişmek için bir şifre kırma yazılımı geliştirdi.

Piyasada şu anda tüm makineyi şifrelemeye yarayan üç sanal makine yazılımı mevcut. Bunlar VirtualBox, Parallels ve VMWare yazılımlarıdır. Kullanılan şifreleme yeteneği, gücü ve kırılma hızları da bu üç yazılım arasında değişkenlik göstermekte. İsterseniz işlemleri anlatmadan önce bu üç sanal makinenin şifrelemesini inceleyelim.

Parallels: En Basit Şifrelemeye Sahip

Bahsettiğimiz üç yazılım arasında en basit korumaya sahip olanı ParallelsParallels, şifreleme yapmak için AES-128 CBC algoritmasından yararlanıyor. Şifreleme için kullanılan anahtar ise MD5 hash algoritmasının iki kez tarihli bir yinelemesinden oluşmakta. Bu nedenle kırılması en basit olan Parallels yazılımıdır. Elcomsoft araştırmacılarının belirttiğine göre, tek bir Intel i7 işlemci ile saniyede 19 milyon parola deneme hızına ulaşıldı. Bu gibi inanılmaz hızlarda herhangi bir GPU kullanmadan bile şifrelere ulaşmak oldukça basit ve kolay. Bu hız, basit ve normal şifreleri rahatça kırabilmek için yeterli fakat biraz daha karmaşık olanlar için çeşitli sözlüklerin kullanılması gerekebilir.

VMware: Orta Düzey Şifreleme

Bahsettiğimiz üç sanallaştırma yazılımından bir tanesi olan VMware de aynı şekilde AES-128 bit şifreleme algoritmasını kullanıyor fakat burada işleyiş Parallels’den daha farklı. VMware, sanal makineleri şifrelemek ve bir şifre anahtarı üretmek için 10.000 kat daha güçlü olan PBKDF-SHA1’den yararlanıyor. İşlemci kullanarak yapılacak bir kırma işleminde saniyede 10.000 şifre denenebiliyor fakat bu yetersiz bir hız olduğundan GPU hızlandırma ile işlemin tekrardan başlatılması tavsiye ediliyor. Yalnızca bir adet Nvidia GeForce RTX 2070 GPU kullanarak saniyede 1.6 milyon parola denemesine ulaşılabiliyor. Bu sayede karmaşık şifreleri GPU yardımıyla daha kolay bulabilirsiniz. Daha kesin sonuçlar elde edebilmek için çeşitli sözlüklerle kaba kuvvet saldırısı yapılması da tavsiye edilir.

VirtualBox: Üst Düzey Şifreleme

Oracle VM VirtualBox, 3 yazılım arasından en iyi şifrelemeye sahip olan ve uygulayan yazılım. Şifreleme algoritması olarak AES-XTS128-Plain64 veya AES-XTS256-Plain64 kullanılabilirken, şifrelemede kullanılan anahtarı üretmek için de SHA-256 hash algoritmasından yararlanıyor. Hash yineleme sayısı ise AES anahtarına bağlı olmakla birlikte, 1.2 milyona kadar ilginç hash yineleme sayılarına ulaşabiliyor. Burada CPU ile yapılan saldırılar oldukça yetersiz kalacaktır çünkü saniyede 15 deneme oldukça yavaş. GPU destekli kırma işlemleri ise yine her zaman olduğu gibi işlemciden çok daha hızlı: NVIDIA GeForce RTX 2070 kullanılarak yapılan bir saldırıda saniyede 2700 deneme yapılabiliyor. Bu şifreleri kırabilmek için iyi bir sözlük ile beraber güçlü bir GPU kullanmanızı tavsiye ederiz.

ElcomSoft Distributed Password Recovery Kullanımı

Sanal makinelerin parolasını öğrenmek amacıyla saldırı yapmak için ElcomSoft Distributed Password Recovery yazılımının 4.30 veya daha yeni sürümlerine ihtiyacınız var. İşlemi yapmak için container’in tamamını kullanmaya gerek yok. Bunun yerine sanal makinenin küçük dosyalarından birisini kullanacağız. Parallels için config.pvs dosyasına, VirtualBox için buna karşılık gelen “.vbox” dosyasına ve VMware için de oldukça küçük “.vmx” dosyasına ihtiyacımız var.

  1. ElcomSoft Distributed Password Recovery 4.30 veya daha yeni sürümü başlatalım.
  2. Aşağıdaki ekran görüntülerinde gösterildiği gibi sanal makinelerin dosyalarını seçin ve aç diyerek devam edin.
  • VirtualBox için “.vbox” dosyasını,

sanal makine şifresi kırma

  • VMware için “.vmx” dosyasını,

sanal makine şifresi kırma

  • Parallels içinse “config.pvs” dosyasını seçin.

sanal makine şifresi kırma

  • Gereken sanal makine dosyalarını seçtikten sonra kurallar sekmesini kullanarak çeşitli sözlükler ekleyebilir, JohnTheRipper syntax kullanarak saldırıyı yapabilirsiniz.

Şifreyi kırmak için saldırıyı başlattığınızda deneme yaptığınız Parallels yazılımına ait bir makine ise yalnızca işlemcileri kullanabilirsiniz zira kırma işlemi için gayet yeterli seviyedeler. VMware ve VirtualBox kullanan sanal makineleri incelemeniz gerektiğindeyse güçlü bir GPU ve kimi zaman çeşitli sözlükleri kullanmak işinizi görecektir.

sanal makine şifresi kırma

Sonuç

Siber dünyada adli bir makamda çalışıyorsanız, sanal makinedeki çeşitli delilleri elde etmek amacıyla ElcomSoft’un oldukça verimli olan bu yazılımından yararlanabilirsiniz.