如何对加密虚拟机开展取证分析?
发布时间:2022-01-15 09:56:40 所属栏目:安全 来源:互联网
导读:从某种程度上来讲,黑客是网络前沿技术的掌握者,比如对虚拟机的使用。他们学习了如何在智能手机中隐藏信息以及如何对笔记本电脑进行加密。攻击者通过安全通道进行通信,且从不让密码泄漏,且尽最大努力不留下任何痕迹。取证调查员每隔一天就会遇到新的挑战
|
从某种程度上来讲,黑客是网络前沿技术的掌握者,比如对虚拟机的使用。他们学习了如何在智能手机中隐藏信息以及如何对笔记本电脑进行加密。攻击者通过安全通道进行通信,且从不让密码泄漏,且尽最大努力不留下任何痕迹。取证调查员每隔一天就会遇到新的挑战。在本文中,取证人员将讨论攻击者用来掩盖其踪迹的另一种工具:加密的虚拟机。 由于虚拟机使用可移植的,独立于硬件的环境来执行与实际计算机基本相同的任务,在虚拟机内部执行的用户活动大部分保留在虚拟机映像文件中,而不在主机上,因此很自然地限制了跟踪的数量和威胁性。一些最受欢迎的虚拟机包括VirtualBox,Parallels和VMWare。虽然Microsoft提供了Hyper-V(在Windows 10上创建虚拟机的工具),但是Hyper-V提供了有限的加密选项,需要将Windows Server作为主机操作系统。由于这样或那样的原因,Hyper-V(微软的一款虚拟化产品,是微软第一个采用类似Vmware ESXi和Citrix Xen的基于hypervisor的技术)很少被攻击者使用。 可以对攻击者使用的许多类型的虚拟机进行安全加密,使用加密的虚拟机可以使攻击者有机会隐瞒其在虚拟保护伞下的活动,降低了犯罪证据意外泄漏的风险。虚拟机通常具有多种攻击优势,主要优势是与正常工作环境完全隔离。即使存在多种攻击,这不会引起什么注意,如虚拟机逃脱。另一方面,虚拟机可提供完整的桌面体验,可以针对虚拟机的特定用途进行完全调整。其中大多数是合法用途,比如虚拟环境中的计算机取证分析。 在调查犯罪嫌疑人的计算机时,取证专家不仅可以简单地对硬盘进行映像,还可以制作功能齐全的虚拟机,以便进行进一步的取证现场调查,模拟真实计算机的工作。这提供了更多的可能性,例如从内存中提取数据和密码,在虚拟机上启动取证映像。 当然,这是一把双刃剑。犯罪分子也使用虚拟机,今天比以往任何时候都要频繁。这听起来像是一个好主意,收集为达到目的所需的所有工具,准备发起恶意软件传播或DDoS攻击,破坏远程系统等。所有这些都不再是一劳永逸的工作,需要大量软件、脚本和数据。相反,他们需要准备所需的一切,将其打包为虚拟机,将映像上传到快速可靠的托管服务器,并随身携带仅带有裸机的笔记本电脑。到达最终位置后,他们可以快速下载映像,运行该映像,然后从本地驱动器中将其删除,具体请查看《Maze勒索软件攻击者如何通过虚拟逃避检测》。 在上面的描述中,我故意省略了关键步骤。像大多数数据一样,虚拟机映像可以受密码保护。在已经发现的攻击样本中,就有攻击者使用了多个受密码保护的虚拟机。不过本文的研究方法是通过提取密码哈希来手动恢复密码,然后使用文中提取的工具恢复它们,本文提到的工具是Distributed Password Recovery,其开发者已经将手动恢复密码功能添加到其中了。 如果虚拟机需要新的密码,例如,有Windows帐户密码或BitLocker保护,请使用Elcomsoft System Recovery 。进入后,我建议首先运行Elcomsoft Internet Password Breaker ,以收集保存在Web浏览器中的所有密码。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号