TOR & BITCOIN FORENSICS
MATTIA EPIFANI LUGANO, 12 MARZO 2013 DEEP WEB
Solo il 4% dei contenuti presenti su Internet sono indicizzati dai motori di ricerca Circa 8 zettabytes di dati sono conservati su server accessibili unicamente tramite reti anonime o su siti web ad accesso protetto TOR E BITCOIN: UN LEGAME INDISSOLUBILE?
L’accesso alle pagine del Deep Web in molti casi è possibile unicamente attraverso connessioni alla rete Tor (The Onion Router) Gli acquisti all’interno del Deep Web avvengono prevalentemente con monete elettroniche come Bitcoin Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del sistema di scambio di cripto-monete sta facendo vacillare questo sistema alternativo ANONIMATO
Anonimato (Internet) Per ragioni di privacy, di «safety», criminali
Molteplici tecniche e strumenti Proxy Teste di ponte TOR RETE TOR – THE ONION ROUTER
Tor è un sistema di comunicazione anonima I peer non possono conoscere il reale IP dell’interlocutore Connessioni «anonime» e servizi nascosti La navigazione su rete Tor avviene, tipicamente, attraverso: Tor Browser Bundle (Windows/Mac/Linux) Live CD/USB Tails Orbot (App per dispositivi Android) Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org TOR – SCENARIO CLASSICO
Internet
in chiaro TOR cifrato
client web server
Sito web con contenuti illeciti Necessità di identificare gli utenti che vi si connettono DIGITAL INVESTIGATION
indagato
investigatore
Fase 1 Fase 2 Fase 3 (pre) (cross) (post)
Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library 7 Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/ TOR USER C&C
Un possibile approccio informatico Hack back!? Prevede: Web Server: modifica della risposta del server sulla specifica risorsa Collaborativo, civetta, ISP, hack
L’utilizzo di BeEF (The Browser Exploitation Framework) 3 Tor Browser Bundle lato client 2
1 TOR USER C&C
1. Web server beefed 1 2. Client si connette al server web e 2 ne riceve la pagina con il riferimento all’hook js
web 3. Il browser del client scarica l’hook server TOR js dal sever beef beefed 4. Hook viene eseguito 3 5. L’hook fa sì che il browser del client si connetta al Beef c&c 4 6. Landing now 5
Beef Hook server Beef C&C client 3 TorBundle 6 2
1 TOR USER C&C
beefed
Beef C&C TOR C&C
6 TOR C&C TOR C&C
Figura 2 Figura 1
Figure 3 e 4 TOR C&C CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) TOR BROWSER BUNDLE
Il Tor Browser può essere utilizzato su: Windows Mac Linux Una volta scaricato dal sito può essere eseguito: Da computer Da Pen Drive/Hard disk esterno AMBIENTE DI TEST
Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1) Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente Accensione della macchina virtuale Collegamento del Pen Drive alla macchina virtuale AMBIENTE DI TEST
Esecuzione del Tor Browser dal pen drive Connessione alla rete TOR
Navigazione sui seguenti siti web, mediante inserimento del link nel browser: http://www.repubblica.it http:// www.genoacfc.it http:// www.corriere.it http:// www.gazzetta.it http://www.forensicfocus.com/ http://silkroad6ownowfk.onion http://onion.is-found.org/ http://torwiki4wrlpz32o.onion/index.php/Main_Page https://www.apple.com/it/ AMBIENTE DI TEST
Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser ancora aperto Ripresa dalla macchina virtuale Chiusura del browser Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.) Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser chiuso ANALISI DELL TRACCE
Per individuare eventuali elementi di interesse sono stati analizzati: Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser File VMDK contenente l’immagine della macchina virtuale 3 2 Dump della RAM 1 ANALISI DELL TRACCE SU PEN DRIVE
Le cartelle di maggior interesse per l’analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser CARTELLA DATA\TOR
I file di maggior interesse sono: state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione
torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità CARTELLA DATA\BROWSER
I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità ALTRE TRACCE POSSIBILI SU PEN DRIVE
L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono: Bookmarks/preferiti (Places.sqlite) Lista dei file scaricati (Downloads.sqlite) ANALISI DELL TRACCE SU HARD DISK
L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave: Tor Torrc Geoip Torproject URL dei siti web visitati ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con la parola chiave Tor ha evidenziato: File di Prefetch denominato TOR.EXE-XXXXXXX.pf File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf Valore all’interno del registro utente nella chiave User Assist Elevata quantità di corrispondenze nel file pagefile.sys ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con le parole chiave Torrc, Torproject, Geoip e con gli URL dei siti web visitati ha evidenziato un’elevata quantità di corrispondenze all’interno del file pagefile.sys ANALISI DEI FILE DI PREFETCH
I file di Prefetch permettono di individuare: La data di primo utilizzo di Tor Browser La data di ultimo utilizzo di Tor Browser Il numero di esecuzioni di Tor Browser ANALISI DEL REGISTRO NTUSER.DAT La chiave User Assist del registro NTUSER.DAT permette di identificare: Data di ultima esecuzione dell’applicazione Numero di esecuzioni Percorso di esecuzione I valori sono memorizzati in ROT-13 Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi ANALISI DEL PAGEFILE Non è possibile fare un’analisi sulla struttura Ma attraverso la ricerca per stringa si possono trovare elementi interessanti Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema ANALISI DEL PAGEFILE – BULK EXTRACTOR ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER ALTRE TRACCE SU HARD DISK (PAPER)
In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06- 28.pdf Nel paper di Runa Sandvik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare: Thumbnail Cache, IconChace.db Registro USRCLASS.DAT Windows Search Database ANALISI DEI DUMP DI MEMORIA
I dump di memoria sono stati analizzati utilizzando Volatility Pslist Psscan Netscan Procmemdump E mediante ricerca per parola chiave Tor Torrc Geoip Torproject URL dei siti web visitati DUMP DI MEMORIA – TOR AVVIATO - PSLIST DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS DUMP DI MEMORIA – TOR CHIUSO - PSLIST DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE HIBERFIL.SYS
Il file hiberfil.sys è il file di ibernazione di Windows Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato» L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo» Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility) Posso analizzarlo utilizzando Volatility (pslist, psscan, connections, ecc.) Ricerca per keyword METODOLOGIA DI ANALISI HARD DISK
File di Prefetch Pagefile.sys (ricerca per keyword) • Data di primo utilizzo • Data di ultimo utilizzo • HTTP-memory-only-PB • Numero di esecuzioni • Torproject • Tor Registro NTUSER\UserAssist • Torrc • Geoip • Percorso di esecuzione • Torbutton • Data di ultimo utilizzo • Tor-launcher • Numero di esecuzioni • Verificare eventuale storico del valore tramite VSS Hiberfil.sys Altre informazioni di interesse
• Thumbnail Cache • Convertire in un dump di RAM • Registro USRCLASS.DAT • Analizzare attraverso • Windows Search Database • Volatility • BookCKCL.etl • Ricerca per keyword TAILS ICEWEASELS TAILS - ANALISI DELLE TRACCE
Nessuna traccia su hard disk! E’ un sistema live Lavora direttamente in RAM Unica possibilità: acquisire la RAM mentre il computer è ancora acceso Recupero unicamente le informazioni della esecuzione attuale BITCOIN…OVUNQUE SE NE PARLA… BITCOIN - TRANSAZIONI BITCOIN WALLET BITCOIN-QT WALLET.DAT
WALLET DATA RECOVERY IISFA FORUM & CYBERCOP TOR - RIFERIMENTI
Tor Project https://www.torproject.org Tor2Web https://www.onion.to/ http://tor2web.org/ HideMyAss http://www.hidemyass.com/ The Onion Router (Wikipedia) http://it.wikipedia.org/wiki/Tor_(software) Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSE http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf Detecting Tor Communication in Network Traffic http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic BITCOIN - RIFERIMENTI
Bitcoin https://bitcoin.org/it/ Bitcoin http://it.wikipedia.org/wiki/Bitcoin Bitcoin Foundation https://bitcoinfoundation.org/ We Use Coins https://www.weusecoins.com/en/ Blockchain Info http://blockchain.info/it Bitcoin Forensics – A Journey into the Dark Web http://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/ Q&A? Mattia Epifani
Digital Forensics Expert CEO @ REALITY NET – System Solutions Responsabile della formazione @ IISFA Italian Chapter Past President @ DFA Association GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected] Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it