Hashcat ile Bitlocker Diske Atak Yapma
İmaj alma işlemi sonrasında alınan imaj dosyasının ağaç yapısının okunamadığı ve hexadecimal alanda bitlocker imzasının okunması ile bitlocker ile şifrelendiği anlaşılan disk içerisinde John ile hash elde etme ve sonrasında açık kaynak hashcat yazılımı ile elde edilen hash değerine sözlük veya kaba kuvvet saldırısı yapmaya yönelik hazırlanmış bir yazıdır.
Tespiti yapılan şifreleme algoritmasının çözümlenmesine yönelik olarak “John The Ripper 1.9.0” aracını kullanarak bitlocker hash değerini elde etmemiz gerekmektedir. (https://www.techspot.com/downloads/downloadnow/6970/evp=965ec1842e9ab6f8691b05d0393c3ee2&file=9045) adresinden indirebilirisiniz.
Tabi alınan imaj dosyanın tek part raw formatta alınmış olması gerekmektedir.
John içerisinde yer alan “bitlocker2john.exe” isimli araç ile alınan imaj üzerinden hash bilgisini elde edebiliriz. Kullanımı aşağıdaki resimde yer aldığı gibi #bitlocker2john.exe -i imajDosyası
Hash değerleri 2 farklı şekilde elde edilmektedir bitlocker için. Birincisi user password değeri için hash değeri iken ikincisi ise kurtarma recovery key için üretilen hash değeridir. Bu uygulamamızda user password hash değeri üzerinden işlem yapacağız. Elde edilen user password hash değerini yeni bir metin dosyasına Bitlocker_Hash.txt olarak kaydediyoruz.
Daha sonra oluşan hash dosyasını Hashcat yazılımını kullanarak atak işleminde kullanıyoruz. Aşağıda yer alan resimde sözlük atak yöntemi ile hash dosyasına yönelik atak işlemi verilmiştir.
Bu şekilde bitlocker imaj üzerinden hashcat yazılımına uygun hash elde ederek atak işlemini başlatmış olduk.