Elcomsoft bricht die VMware-, Parallels- und VirtualBox-Verschlüsselung auf

Mit dem Elcomsoft Distributed Password Recovery 4.30 erhalten Forensiker Zugang zu Beweismaterial, das in verschlüsselten virtuellen Maschinen gespeichert ist. Die neue Version bricht VMware-, Parallels- und VirtualBox-Verschlüsselung über Hochgeschwindigkeits-Angriffe auf. Darüber hinaus bietet das Update Unterstützung für 7Zip-Archive mit mehreren Archiven.

In dieser Version haben wir die Unterstützung für drei der beliebtesten virtuellen Maschinen hinzugefügt: VMware, Parallels und VirtualBox. Elcomsoft Distributed Password Recovery 4.30 bietet die Möglichkeit, die Verschlüsselungs-Passwörter anzugreifen und den Ermittlern den Zugriff auf verschlüsselte VMs zu erhalten. Darüber hinaus kann das Tool Archive Multi-Volume-Archive im 7Zip-Format angreifen. Schließlich haben wir auch Elcomsoft Forensic Disk Decryptor aktualisiert. Das Tool ermöglicht jetzt die Auswahl der Algorithmen beim Angriff auf TrueCrypt- und VeraCrypt-Container.

Passwort-Wiederherstellung für VMware-, Parallels- und VirtualBox-VMs

Virtuelle Maschinen sind die Werkzeuge, die in der kriminellen Welt häufig verwendet werden. Durch die Verwendung einer verschlüsselten VM können alle kriminellen Aktivitäten unter einem Dach zusammengefasst werden, ohne dass Browsing- und Kommunikations-Sitzungen bereinigt werden müssen oder ein versehentliches Datenleck riskiert wird.

Die gängigsten virtuellen Maschinen, die das gesamte VM-Image verschlüsseln können, sind Parallels, VMware und VirtualBox. Die Verschlüsselungsstärke ist bei diesen VMs sehr unterschiedlich.

Parallels hat den schwächsten Schutz des Trios. Mit nur zwei MD5-Hash-Iterationen, die zum Ableiten des Verschlüsselungs-Schlüssels verwendet werden, ist Parallels am schnellsten angreifbar. Elcomsoft Distributed Password Recovery 4.30 erreicht eine beispiellose Wiederherstellungs-Geschwindigkeit von 10 Millionen Passwörtern pro Sekunde auf einer einzelnen Intel i5-CPU der 10. Generation was eine schnelle Wiederherstellung von ziemlich komplexen Passwörtern ermöglicht.

VMware verwendet rund 10.000 Hash-Iterationen mit dem stärkeren PBKDF-SHA1. Ein reiner CPU-Angriff führt zu etwa 100 Passwörtern pro Sekunde. Daher wird die GPU-unterstützte Wiederherstellung dringend empfohlen.

Schließlich bietet Oracle VirtualBox die stärkste Verschlüsselung. Mit bis zu 1,2 Millionen Hash-Iterationen und einer variablen Länge des Verschlüsselungs-Schlüssels werden reine CPU-Angriffe mit nur 3 Passwörtern pro Sekunde unerträglich langsam. Der GPU-unterstützte Angriff wird dringend empfohlen, zusammen mit einem gezielten Wörterbuch und angemessenen Mutations-Einstellungen.

Durch die Aktivierung des Zugriffs auf verschlüsselte virtuelle Maschinen ermöglicht Elcomsoft Distributed Password Recovery 4.30 Experten den Zugriff auf wichtige Beweise, die möglicherweise in diesen VMs verfügbar sein könnten.

Versionshinweise:

  • Unterstützung für virtuelle Maschinen, die mit Parallels, VirtualBox und VMWare verschlüsselt sind
  • Unterstützung für 7ZIP-Archive mit mehreren Volumes
  • Bugfix: Das Problem beim Angriff auf bestimmte Arten von komprimierten Archiven wurde behoben
  • ZIP-, 7ZIP- und RAR-Unterstützung wurde in Elcomsoft Hash Extractor hinzugefügt
  • Unterstützung von AMD und Intel GPU für 7ZIP-Archive
  • Die Silent Installer-Funktionalität wurde wiederhergestellt
  • Für TrueCrypt und VeraCrypt: wurde die Möglichkeit hinzugefügt, Algorithmen für Brute-Force Passwörter anzugeben
  • Unterstützung für Unicode-Dateien wurde für die LM / NTLM-Erweiterung hinzugefügt
  • Die neue Registerkarte «Regeln» wurde hinzugefügt, um hybride Angriffsregeln direkt über die Benutzeroberfläche zu bearbeiten

Siehe auch