{"id":17407,"date":"2020-11-04T11:59:00","date_gmt":"2020-11-04T10:59:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17407"},"modified":"2020-10-29T09:59:58","modified_gmt":"2020-10-29T08:59:58","slug":"zugriff-auf-verschluesselte-virtuelle-maschinen-mit-elcomsoft","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17407","title":{"rendered":"Zugriff auf verschl\u00fcsselte virtuelle Maschinen mit Elcomsoft"},"content":{"rendered":"\n<p>Die neue Version 4.30 von Elcomsoft Distributed Password Recovery unterst\u00fctzt jetzt den Zugriff auf zus\u00e4tzliche virtuelle Maschinen. Auf diese Weise erhalten Forensiker die M\u00f6glichkeit, auf Daten zuzugreifen, die sich in virtuellen Maschinen in Parallels-, VirtualBox- und VMware-Umgebungen befinden. Au\u00dferdem hat der Hersteller der Benutzeroberfl\u00e4che der Software einen neuen Regeleditor verpasst. Dieser l\u00e4sst sich nutzen, um direkt in der Benutzeroberfl\u00e4che Regeln f\u00fcr Hybridangriffe zu bearbeiten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"521\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules-1024x521.png\" alt=\"\" class=\"wp-image-17408\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules-1024x521.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules-300x153.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules-768x391.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules-1536x781.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/edpr_hybrid_attack_mutation_rules.png 1640w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>Screenshot: Elcomsoft<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>&#8222;Virtuelle Maschinen sind in der kriminellen Welt sehr verbreitet&#8220;, erkl\u00e4rt Andy Malyshev, CEO von ElcomSoft. &#8222;Durch die Verwendung einer verschl\u00fcsselten virtuellen Maschine k\u00f6nnen Kriminelle ihre Aktivit\u00e4ten sozusagen unter einem virtuellen Dach verstecken und so das Risiko eines versehentlichen Beweislecks verringern. Wir haben ein Tool entwickelt, mit dem Ermittler Zugriff auf all diese Beweise erhalten, indem sie das urspr\u00fcngliche Verschl\u00fcsselungspasswort aufbrechen k\u00f6nnen.&#8220;<\/p>\n\n\n\n<p><strong>\u00d6ffnen von verschl\u00fcsselten VMware-, Parallels- und VirtualBox-VMs<\/strong><\/p>\n\n\n\n<p>Virtuelle Maschinen verwenden eine portable, Hardware-unabh\u00e4ngige Umgebung, um im Wesentlichen dieselbe Rolle wie ein realer Computer zu spielen. In der virtuellen Maschine ausgef\u00fchrte Benutzeraktivit\u00e4ten hinterlassen Spuren. Jedoch sind diese haupts\u00e4chlich in den VM-Image-Dateien zu finden und nicht auf dem Host-Computer. Die Analyse virtueller Maschinen wird zu einem wichtigen Faktor bei der Durchf\u00fchrung digitaler forensischer Untersuchungen.<\/p>\n\n\n\n<p>Viele Arten von virtuellen Maschinen, die in der kriminellen Welt zum Einsatz kommen, k\u00f6nnen sicher verschl\u00fcsselt werden. Auf Beweismaterial, das in solchen VM-Images gespeichert ist, kann nur zugegriffen werden, wenn der Ermittler das urspr\u00fcngliche Verschl\u00fcsselungspasswort vorweisen kann. Elcomsoft Distributed Password Recovery bietet eine L\u00f6sung, mit der Experten Hardware-beschleunigte und verteilte Angriffe auf Passw\u00f6rter ausf\u00fchren k\u00f6nnen, die VMware, Parallels und VirtualBox sch\u00fctzen.<\/p>\n\n\n\n<p><strong>Technologie und Leistung<\/strong><\/p>\n\n\n\n<p>Die g\u00e4ngigsten virtuellen Maschinen, die das gesamte VM-Image verschl\u00fcsseln k\u00f6nnen, sind Parallels, VMware und VirtualBox. Die Verschl\u00fcsselungsst\u00e4rke und die daraus resultierenden Passwort-Wiederherstellungs-Geschwindigkeiten unterscheiden sich zwischen diesen drei VMs erheblich.<\/p>\n\n\n\n<p>Parallels hat dabei den schw\u00e4chsten Schutz. Mit nur zwei MD5-Hash-Iterationen, die zum Ableiten des Verschl\u00fcsselungsschl\u00fcssels verwendet werden, ist Parallels am schnellsten anzugreifen. Elcomsoft Distributed Password Recovery 4.30 erreicht eine sehr hohe Wiederherstellungs-Geschwindigkeit von 19 Millionen Passw\u00f6rtern pro Sekunde auf einer einzelnen Intel i7-CPU und erm\u00f6glicht die schnelle Wiederherstellung relativ komplexer Passw\u00f6rter auch ohne GPU-Beschleunigung.<\/p>\n\n\n\n<p>VMware verwendet etwa 10.000 Hash-Runden und verwendet gleichzeitig eine st\u00e4rkere PBKDF-SHA1-Hash-Funktion. Ein Nur-CPU-Angriff f\u00fchrt zu etwa 10.000 Kennw\u00f6rtern pro Sekunde, weshalb die GPU-gest\u00fctzte Wiederherstellung dringend empfohlen wird. Die Verwendung einer einzelnen NVIDIA GeForce 2070 RTX-Karte erh\u00f6ht die Wiederherstellungs-Geschwindigkeit auf 1,6 Millionen Passw\u00f6rter pro Sekunde.<\/p>\n\n\n\n<p>Schlie\u00dflich bietet Oracle VirtualBox den st\u00e4rksten Schutz mit der sichersten Verschl\u00fcsselung. Mit bis zu 1,2 Millionen Hash-Iterationen und einem Verschl\u00fcsselungsschl\u00fcssel variabler L\u00e4nge w\u00fcrde ein nicht beschleunigter, reiner CPU-Angriff, die Wiederherstellungs-Geschwindigkeit auf nur 15 Passw\u00f6rter pro Sekunde erh\u00f6hen. Der verf\u00fcgbare GPU-unterst\u00fctzte Angriff ist eine erheblich schnellere und dringend empfohlene Option, zusammen mit einem gezielten W\u00f6rterbuch und Mutationseinstellungen, die eine Geschwindigkeit von bis zu 2700 Passw\u00f6rtern pro Sekunde auf einer einzelnen NVIDIA GeForce 2070 RTX-Karte erm\u00f6glicht.<\/p>\n\n\n\n<p><strong>Regeleditor<\/strong><\/p>\n\n\n\n<p>Der neu hinzu gekommene Regeleditor erm\u00f6glicht die Verwendung von Hybridangriffen basierend auf der branchen\u00fcblichen Syntax von John the Ripper direkt \u00fcber die Benutzeroberfl\u00e4che. Der Regeleditor ersetzt den bisherigen Modus basierend auf der manuellen Bearbeitung von Textdateien.<\/p>\n\n\n\n<p><strong>Preise und Systemanforderungen<\/strong><\/p>\n\n\n\n<p>Elcomsoft Distributed Password Recovery in der Version 4.30 ist ab sofort verf\u00fcgbar. Die Lizenzierung beginnt ab 600 Euro zuz\u00fcglich Mehrwertsteuer f\u00fcr f\u00fcnf Clients, f\u00fcr 100 Clients kostet sie 5000 Euro zuz\u00fcglich Mehrwertsteuer. Weitere Volumenlizenzen sind auf Anfrage erh\u00e4ltlich. Lokale Preise k\u00f6nnen variieren. Elcomsoft Distributed Password Recovery unterst\u00fctzt Microsoft Windows 7, 8, 10, sowie die entsprechenden Windows Server-Editionen.<\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"http:\/\/www.elcomsoft.de\">www.elcomsoft.de<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die neue Version 4.30 von Elcomsoft Distributed Password Recovery unterst\u00fctzt jetzt den Zugriff auf zus\u00e4tzliche virtuelle Maschinen. Auf diese Weise erhalten Forensiker die M\u00f6glichkeit, auf Daten zuzugreifen, die sich in virtuellen Maschinen in Parallels-, VirtualBox- und VMware-Umgebungen befinden. Au\u00dferdem hat der Hersteller der Benutzeroberfl\u00e4che der Software einen neuen Regeleditor verpasst. Dieser l\u00e4sst sich nutzen, um direkt in der Benutzeroberfl\u00e4che Regeln f\u00fcr Hybridangriffe zu bearbeiten.<\/p>\n","protected":false},"author":1,"featured_media":17408,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4],"tags":[9127,5106,965,36,14230,7381,2590,21],"class_list":["post-17407","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-distributed-password-recovery","tag-elcomsoft","tag-parallels","tag-sicherheit","tag-virtualbox","tag-virtuelle-maschine","tag-vm","tag-vmware"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17407"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17407\/revisions"}],"predecessor-version":[{"id":17410,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17407\/revisions\/17410"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17408"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}