TOR & BITCOIN FORENSICS

MATTIA EPIFANI LUGANO, 12 MARZO 2013 DEEP WEB

 Solo il 4% dei contenuti presenti su sono indicizzati dai motori di ricerca  Circa 8 zettabytes di dati sono conservati su server accessibili unicamente tramite reti anonime o su siti web ad accesso protetto E BITCOIN: UN LEGAME INDISSOLUBILE?

 L’accesso alle pagine del Deep Web in molti casi è possibile unicamente attraverso connessioni alla rete Tor (The Onion Router)  Gli acquisti all’interno del Deep Web avvengono prevalentemente con monete elettroniche come Bitcoin  Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del sistema di scambio di cripto-monete sta facendo vacillare questo sistema alternativo ANONIMATO

 Anonimato (Internet)  Per ragioni di privacy, di «safety», criminali

 Molteplici tecniche e strumenti  Proxy  Teste di ponte  TOR RETE TOR – THE ONION ROUTER

 Tor è un sistema di comunicazione anonima  I peer non possono conoscere il reale IP dell’interlocutore  Connessioni «anonime» e servizi nascosti  La navigazione su rete Tor avviene, tipicamente, attraverso:  Tor Browser Bundle (Windows/Mac/Linux)  Live CD/USB  Orbot (App per dispositivi Android)  Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org TOR – SCENARIO CLASSICO

Internet

in chiaro TOR cifrato

client web server

 Sito web con contenuti illeciti  Necessità di identificare gli utenti che vi si connettono DIGITAL INVESTIGATION

indagato

investigatore

Fase 1 Fase 2 Fase 3 (pre) (cross) (post)

Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library 7 Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/ TOR USER C&C

 Un possibile approccio informatico  Hack back!? Prevede:  Web Server: modifica della risposta del server sulla specifica risorsa  Collaborativo, civetta, ISP, hack

 L’utilizzo di BeEF (The Browser Exploitation Framework) 3  Tor Browser Bundle lato client 2

1 TOR USER C&C

1. Web server beefed 1 2. Client si connette al server web e 2 ne riceve la pagina con il riferimento all’hook js

web 3. Il browser del client scarica l’hook server TOR js dal sever beef beefed 4. Hook viene eseguito 3 5. L’hook fa sì che il browser del client si connetta al Beef c&c 4 6. Landing now 5

Beef Hook server Beef C&C client 3 TorBundle 6 2

1 TOR USER C&C

beefed

Beef C&C TOR C&C

6 TOR C&C TOR C&C

Figura 2 Figura 1

Figure 3 e 4 TOR C&C CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) TOR BROWSER BUNDLE

 Il Tor Browser può essere utilizzato su:  Windows  Mac  Linux  Una volta scaricato dal sito può essere eseguito:  Da computer  Da Pen Drive/Hard disk esterno AMBIENTE DI TEST

 Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato  Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit  Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1)  Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente  Accensione della macchina virtuale  Collegamento del Pen Drive alla macchina virtuale AMBIENTE DI TEST

 Esecuzione del Tor Browser dal pen drive  Connessione alla rete TOR

 Navigazione sui seguenti siti web, mediante inserimento del link nel browser:  http://www.repubblica.it  http:// www.genoacfc.it  http:// www.corriere.it  http:// www.gazzetta.it  http://www.forensicfocus.com/  http://silkroad6ownowfk.onion  http://onion.is-found.org/  http://torwiki4wrlpz32o.onion/index.php/Main_Page  https://www.apple.com/it/ AMBIENTE DI TEST

 Sospensione della macchina virtuale  Acquisizione del dump della memoria con il browser ancora aperto  Ripresa dalla macchina virtuale  Chiusura del browser  Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.)  Sospensione della macchina virtuale  Acquisizione del dump della memoria con il browser chiuso ANALISI DELL TRACCE

 Per individuare eventuali elementi di interesse sono stati analizzati:  Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser  File VMDK contenente l’immagine della macchina virtuale 3 2  Dump della RAM 1 ANALISI DELL TRACCE SU PEN DRIVE

 Le cartelle di maggior interesse per l’analisi sono risultate:  Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser CARTELLA DATA\TOR

 I file di maggior interesse sono:  state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione

 torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità CARTELLA DATA\BROWSER

 I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità ALTRE TRACCE POSSIBILI SU PEN DRIVE

 L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR  Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono:  Bookmarks/preferiti (Places.sqlite)  Lista dei file scaricati (Downloads.sqlite) ANALISI DELL TRACCE SU HARD DISK

 L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave:  Tor  Torrc  Geoip  Torproject  URL dei siti web visitati ANALISI DELL TRACCE SU HARD DISK

 La ricerca effettuata con la parola chiave Tor ha evidenziato:  File di Prefetch denominato TOR.EXE-XXXXXXX.pf  File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf  Valore all’interno del registro utente nella chiave User Assist  Elevata quantità di corrispondenze nel file pagefile.sys ANALISI DELL TRACCE SU HARD DISK

La ricerca effettuata con le parole chiave Torrc, Torproject, Geoip e con gli URL dei siti web visitati ha evidenziato un’elevata quantità di corrispondenze all’interno del file pagefile.sys ANALISI DEI FILE DI PREFETCH

 I file di Prefetch permettono di individuare:  La data di primo utilizzo di Tor Browser  La data di ultimo utilizzo di Tor Browser  Il numero di esecuzioni di Tor Browser ANALISI DEL REGISTRO NTUSER.DAT  La chiave User Assist del registro NTUSER.DAT permette di identificare:  Data di ultima esecuzione dell’applicazione  Numero di esecuzioni  Percorso di esecuzione  I valori sono memorizzati in ROT-13  Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi ANALISI DEL PAGEFILE  Non è possibile fare un’analisi sulla struttura  Ma attraverso la ricerca per stringa si possono trovare elementi interessanti  Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema ANALISI DEL PAGEFILE – BULK EXTRACTOR ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER ALTRE TRACCE SU HARD DISK (PAPER)

 In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor  Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06- 28.pdf  Nel paper di Runa Sandvik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare:  Thumbnail Cache, IconChace.db  Registro USRCLASS.DAT  Windows Search Database ANALISI DEI DUMP DI MEMORIA

 I dump di memoria sono stati analizzati utilizzando Volatility  Pslist  Psscan  Netscan  Procmemdump  E mediante ricerca per parola chiave  Tor  Torrc  Geoip  Torproject  URL dei siti web visitati DUMP DI MEMORIA – TOR AVVIATO - PSLIST DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS DUMP DI MEMORIA – TOR CHIUSO - PSLIST DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE HIBERFIL.SYS

 Il file hiberfil.sys è il file di ibernazione di Windows  Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»  L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»  Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)  Posso analizzarlo utilizzando  Volatility (pslist, psscan, connections, ecc.)  Ricerca per keyword METODOLOGIA DI ANALISI HARD DISK

File di Prefetch Pagefile.sys (ricerca per keyword) • Data di primo utilizzo • Data di ultimo utilizzo • HTTP-memory-only-PB • Numero di esecuzioni • Torproject • Tor Registro NTUSER\UserAssist • Torrc • Geoip • Percorso di esecuzione • Torbutton • Data di ultimo utilizzo • Tor-launcher • Numero di esecuzioni • Verificare eventuale storico del valore tramite VSS Hiberfil.sys Altre informazioni di interesse

• Thumbnail Cache • Convertire in un dump di RAM • Registro USRCLASS.DAT • Analizzare attraverso • Windows Search Database • Volatility • BookCKCL.etl • Ricerca per keyword TAILS ICEWEASELS TAILS - ANALISI DELLE TRACCE

 Nessuna traccia su hard disk!  E’ un sistema live  Lavora direttamente in RAM  Unica possibilità: acquisire la RAM mentre il computer è ancora acceso  Recupero unicamente le informazioni della esecuzione attuale BITCOIN…OVUNQUE SE NE PARLA… BITCOIN - TRANSAZIONI BITCOIN WALLET BITCOIN-QT WALLET.DAT

WALLET DATA RECOVERY IISFA FORUM & CYBERCOP TOR - RIFERIMENTI

 Tor Project https://www.torproject.org  https://www.onion.to/ http://tor2web.org/  HideMyAss http://www.hidemyass.com/  The Onion Router (Wikipedia) http://it.wikipedia.org/wiki/Tor_(software)  Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf  FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSE http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf  Detecting Tor Communication in Network Traffic http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic BITCOIN - RIFERIMENTI

 Bitcoin https://bitcoin.org/it/  Bitcoin http://it.wikipedia.org/wiki/Bitcoin  Bitcoin Foundation https://bitcoinfoundation.org/  We Use Coins https://www.weusecoins.com/en/  Blockchain Info http://blockchain.info/it  Bitcoin Forensics – A Journey into the http://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/ Q&A? Mattia Epifani

 Digital Forensics Expert  CEO @ REALITY NET – System Solutions  Responsabile della formazione @ IISFA Italian Chapter  Past President @ DFA Association  GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC

Mail [email protected] Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it