tor and bitcoin forensics - supsi · rete tor –the onion router tor è un sistema di...
TRANSCRIPT
TOR & BITCOIN FORENSICSMATTIA EPIFANI
SUPSI
LUGANO, 12 MARZO 2013
DEEP WEB
Solo il 4% dei contenuti presenti
su Internet sono indicizzati dai
motori di ricerca
Circa 8 zettabytes di dati
sono conservati su server
accessibili unicamente tramite
reti anonime o su siti web ad
accesso protetto
TOR E BITCOIN: UN LEGAME INDISSOLUBILE?
L’accesso alle pagine del Deep Web nella maggior parte dei casi è
possibile unicamente attraverso connessioni alla rete Tor (The Onion
Router)
Gli acquisti all’interno del Deep Web avvengono prevalentemente con
monete elettroniche come Bitcoin
Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del
sistema di scambio di cripto-monete sta facendo vacillare questo sistema
alternativo
ANONIMATO
Anonimato (Internet)
Per ragioni di privacy, di «safety», criminali
Molteplici tecniche e strumenti
Proxy
Teste di ponte
TOR
RETE TOR – THE ONION ROUTER
Tor è un sistema di comunicazione anonima
I peer non possono conoscere il reale IP dell’interlocutore
Connessioni «anonime» e servizi nascosti
La navigazione su rete Tor avviene, tipicamente, attraverso:
Tor Browser Bundle (Windows/Mac/Linux)
Live CD/USB Tails
Orbot (App per dispositivi Android)
Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org
TOR – SCENARIO CLASSICO
web server
TOR
Internet
client
cifratoin chiaro
Sito web con contenuti illeciti
Necessità di identificare gli utenti che vi si connettono
DIGITAL INVESTIGATION
7Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library
Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/
Fase 1(pre)
Fase 2(cross)
Fase 3(post)
indagato
investigatore
TOR USER C&C
Un possibile approccio informatico
Hack back!?
Prevede:
Web Server: modifica della risposta del server sulla specifica risorsa
Collaborativo, civetta, ISP, hack
L’utilizzo di BeEF (The Browser Exploitation Framework)
TorBundle lato client 2
3
1
TOR USER C&C
web serverbeefed
Beef Hook server
Beef C&C
1. Web server beefed
2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js
3. Il browser del client scarica l’hookjs dal sever beef
4. Hook viene eseguito
5. L’hook fa sì che il browser del client si connetta al Beef c&c
6. Landing now
12
clientTorBundle
3
4
TOR
5
62
3
1
TOR USER C&C
beefed
Beef C&C
TOR C&C
6
TOR C&C
TOR C&C
Figura 1
Figura 2
Figure 3 e 4
TOR C&C
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
TOR BROWSER BUNDLE
Il Tor Browser può essere utilizzato su:
Windows
Mac
Linux
Una volta scaricato dal sito può essere eseguito:
Da computer
Da Pen Drive/Hard disk esterno
AMBIENTE DI TEST
Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato
Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit
Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1)
Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente
Accensione della macchina virtuale
Collegamento del Pen Drive alla macchina virtuale
AMBIENTE DI TEST
Esecuzione del Tor Browser dal pen drive
Connessione alla rete TOR
Navigazione sui seguenti siti web, mediante inserimento del link nel browser:
http://www.repubblica.it
http:// www.genoacfc.it
http:// www.corriere.it
http:// www.gazzetta.it
http://www.forensicfocus.com/
http://silkroad6ownowfk.onion
http://onion.is-found.org/
http://torwiki4wrlpz32o.onion/index.php/Main_Page
https://www.apple.com/it/
AMBIENTE DI TEST
Sospensione della macchina virtuale
Acquisizione del dump della memoria con il browser ancora aperto
Ripresa dalla macchina virtuale
Chiusura del browser
Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.)
Sospensione della macchina virtuale
Acquisizione del dump della memoria con il browser chiuso
ANALISI DELL TRACCE
In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
Per verificare i risultati e individuare eventuali elementi di interesse sono stati analizzati:
Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser
File VMDK contenente l’immagine della macchina virtuale 2
3
1
ANALISI DELL TRACCE SU PEN DRIVE
Le cartelle di maggior interesse per l’analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser
CARTELLA DATA\TOR
I file di maggior interesse sono:
state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione
torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità
CARTELLA DATA\BROWSER
I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità
ALTRE TRACCE POSSIBILI SU PEN DRIVE
L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR
Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono:
Bookmarks/preferiti (Places.sqlite)
Lista dei file scaricati (Downloads.sqlite)
ANALISI DELL TRACCE SU HARD DISK
L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave:
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con la parola chiave Tor ha evidenziato:
File di Prefetch denominato TOR.EXE-XXXXXXX.pf
File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf
Valore all’interno del registro utente nella chiave User Assist
Corrispondenze all’interno del file BookCKCL.etl
Elevata quantità di corrispondenze nel file pagefile.sys
ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con le parole chiave Torrc, Torproject e Geoip ha evidenziato:
Corrispondenze all’interno del file BookCKCL.etl
Elevata quantità di corrispondenze nel file pagefile.sys
La ricerca effettuata con le parole chiave relative agli URL dei siti web visitati ha evidenziato:
Elevata quantità di corrispondenze nel file pagefile.sys
ANALISI DEI FILE DI PREFETCH
I file di Prefetch permettono di individuare:
La data di primo utilizzo di Tor Browser
La data di ultimo utilizzo di Tor Browser
Il numero di esecuzioni di Tor Browser
ANALISI DEL REGISTRO NTUSER.DAT
La chiave User Assist del registro NTUSER.DAT permette di identificare:
Data di ultima esecuzione dell’applicazione
Numero di esecuzioni
Percorso di esecuzione
I valori sono memorizzati in ROT-13
Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi
ANALISI DEL PAGEFILE
Non è possibile fare un’analisi sulla struttura
Ma attraverso la ricerca per stringa si possono trovare elementi interessanti
Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema
ANALISI DEL PAGEFILE – BULK EXTRACTOR
ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER
ALTRE TRACCE SU HARD DISK (PAPER)
Nel paper di Runa Sandivik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare:
Thumbnail Cache
Registro USRCLASS.DAT
Windows Search Database
ANALISI DEI DUMP DI MEMORIA
I dump di memoria sono stati analizzati utilizzando Volatility
Pslist
Psscan
Netscan
Procmemdump
E mediante ricerca per parola chiave
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
DUMP DI MEMORIA – TOR AVVIATO - PSLIST
DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS
DUMP DI MEMORIA – TOR CHIUSO - PSLIST
DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS
DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE
DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE
HIBERFIL.SYS
Il file hiberfil.sys è il file di ibernazione di Windows
Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»
L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»
Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)
Posso analizzarlo utilizzando
Volatility (pslist, psscan, connections, ecc.)
Ricerca per keyword
METODOLOGIA DI ANALISI HARD DISK
• Data di primo utilizzo
• Data di ultimo utilizzo
• Numero di esecuzioni
File di Prefetch
• Percorso di esecuzione
• Data di ultimo utilizzo
• Numero di esecuzioni
• Verificare eventuale storico del valore tramite VSS
Registro NTUSER\UserAssist
• Thumbnail Cache
• Registro USRCLASS.DAT
• Windows Search Database
• BookCKCL.etl
Altre informazioni di interesse
• HTTP-memory-only-PB
• Torproject
• Tor
• Torrc
• Geoip
• Torbutton
• Tor-launcher
Pagefile.sys (ricerca per keyword)
• Convertire in un dump di RAM
• Analizzare attraverso
• Volatility
• Ricerca per keyword
Hiberfil.sys
TAILS
ICEWEASELS
TAILS - ANALISI DELLE TRACCE
Nessuna traccia su hard disk!
E’ un sistema live Lavora direttamente in RAM
Unica possibilità: acquisire la RAM mentre il computer è ancora acceso
Recupero unicamente le informazioni della esecuzione attuale
BITCOIN…OVUNQUE SE NE PARLA…
BITCOIN - TRANSAZIONI
BITCOIN WALLET
BITCOIN-QT
WALLET.DAT
WALLET DATA RECOVERY
TOR - SITI WEB DI RIFERIMENTO
Tor Projecthttps://www.torproject.org
Tor2Webhttps://www.onion.to/http://tor2web.org/
HideMyAsshttp://www.hidemyass.com/
The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf
Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
BITCOIN - PUBBLICAZIONI DI RIFERIMENTO
Bitcoinhttps://bitcoin.org/it/
Bitcoinhttp://it.wikipedia.org/wiki/Bitcoin
Bitcoin Foundationhttps://bitcoinfoundation.org/
We Use Coinshttps://www.weusecoins.com/en/
Blockchain Infohttp://blockchain.info/it
Bitcoin Forensics – A Journey into the Dark Webhttp://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/
Q&A?
Mattia Epifani
Digital Forensics Expert
CEO @ REALITY NET – System Solutions
Past President @ DFA Association
GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected]
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani