Was ist Hashbull?

Hashbull ist die weltweit populärste GUI zur Steuerung der leistungsstärksten Cracking-Tools für die Entschlüsselung von Passwörtern in der kriminalistischen IT-Forensik.

 

Hashbull ist darüber hinaus in der Lage den Computer einer Zielperson nach Indizien für die Nutzung von Kryptowährungen (Bitcoin, Ethereum, Monero, etc.) und nach verschlüsselten Dateien zu scannen.

 

Hashbull wurde in erster Linie für den Einsatz in Strafverfolgungsbehörden entwickelt. Bei Hashbull handelt es sich um Open-Source-Software, die in Deutschland entwickelt wurde.

Welche Tools sind in Hashbull integriert?

Hashbull Scanner - Der Hashbull-Scanner durchsucht den Computer der Zielperson nach Indizien für die Nutzung von Kryptowährungen (Bitcoin, Ethereum, Monero, etc.). Darüber hinaus werden sämtliche Dateien im PDF-, Office-, 7z, ZIP und RAR-Format analysiert, ob eine aktive Verschlüsselung vorliegt.

 

Hashcat - Hashcat ist der populärste und effektivste Passwort-Cracker der Welt. Er wird sowohl von Strafverfolgungsbehörden, Geheimdiensten und dem Militär, als auch bei Penetrationstestern der Software-Industrie  eingesetzt.

 

John the Ripper - JtR ist ein Passwort-Cracker, der ursprünglich für UNIX-basierte Systeme entwickelt und erstmals 1996 veröffentlicht wurde. JtR enthält eine Vielzahl von Tools zum Extrahieren von Passwort-Hashes.

 

Bulk Extractor - BuEx ist ein Forensik-Tool, das ein Disk-Image, eine Datei oder ein Verzeichnis scannt und nützliche Informationen extrahiert, ohne das Dateisystem oder die Dateisystemstrukturen zu analysieren. Das Tool ist im Erstellen von Wordlists aus nicht verschlüsselten Beweismitteln einer Zielperson sehr leistungsstark.

 

CUPP - Cupp erzeugt Wordlists mit personenspezifischen Passphrasen einer Zielperson anhand von Eingaben, bspw. des Spitznamen, Namen des Haustiers oder des Geburtsdatums des Kindes. Es basiert auf der Vermutung, dass viele Passwörter eine Kombination aus Passphrasen, Zahlen und Sonderzeichen sind.

Erste Schritte mit Hashbull

Das Hashbull-Startfenster ist in vier Bereiche unterteilt.

01_Hash Extraction

Der erste Bereich ist zum Extrahieren der Passwort-Hashes. Die Liste der möglichen Hash-Extraktionen wird sukzessiv erweitert. Die für Strafverfolgungsbehörden häufigsten Verschlüsselungen, wie bspw. VeraCrypt, TureCrypt, PDF, Office, ZIP, Bitlocker, FileFault2 (Apple), LUKS (Linux), Bitcoin- oder Ethereum-Wallets sind integriert.

02_Hash Crack

Der zweite Bereich ist zum Entschlüsseln der Passwort-Hashes. Im oberen Fenster wird der Hash geladen, der Hash-Typ ausgewählt und optional der Session-Name eingetragen. Im unteren Fenster stehen mehrere Attacken-Modi zur Verfügung. Außerdem stehen Masken-, Kombinationen- und Hybridangriffe zur Verfügung. Außerdem wurde in Hashbull ein intelligenter und vollautomatischer Angriff integriert, der die Angriffstrategie selbstständig optimiert. Außerdem steht ein Batch-Mode zur Verfügung, bei dem die Angriffsstrategie gesammelt werden können.

03_Bulk Extractor, CUPP & Co.

Im dritten Bereich können nicht verschlüsselte IT-Asservate mit Bulk Extractor analysiert und spezielle Wordlist-Extraktionen angestoßen werden. Die hierdurch gewonnenen Wordlists sind sehr effektiv.

 

Mit Wordlister und CUPP können personenspezifische Wordlists erstellt werden. Es werden Informationen zur Zielperson, wie bspw. Name, Geburtsdatum, Namen des Ehepartners, der Kinder und Hobbies abgefragt. Aus diesen Informationen werden umfangreiche Wordlists generiert.

04_Settings

In diesem Bereich sind die Einstellungen hinterlegt. Bei Bedarf kann ein Hashcat-Brain-Server konfiguriert werden. Umfangreiche Hilfestellungen zu Hashbull sind unter "Help" hinterlegt.