TOR & BITCOIN FORENSICSMATTIA EPIFANI

SUPSI

LUGANO, 12 MARZO 2013

DEEP WEB

Solo il 4% dei contenuti presenti

su Internet sono indicizzati dai

motori di ricerca

Circa 8 zettabytes di dati

sono conservati su server

accessibili unicamente tramite

reti anonime o su siti web ad

accesso protetto

TOR E BITCOIN: UN LEGAME INDISSOLUBILE?

L’accesso alle pagine del Deep Web nella maggior parte dei casi è

possibile unicamente attraverso connessioni alla rete Tor (The Onion

Router)

Gli acquisti all’interno del Deep Web avvengono prevalentemente con

monete elettroniche come Bitcoin

Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del

sistema di scambio di cripto-monete sta facendo vacillare questo sistema

alternativo

ANONIMATO

Anonimato (Internet)

Per ragioni di privacy, di «safety», criminali

Molteplici tecniche e strumenti

Proxy

Teste di ponte

TOR

RETE TOR – THE ONION ROUTER

Tor è un sistema di comunicazione anonima

I peer non possono conoscere il reale IP dell’interlocutore

Connessioni «anonime» e servizi nascosti

La navigazione su rete Tor avviene, tipicamente, attraverso:

Tor Browser Bundle (Windows/Mac/Linux)

Live CD/USB Tails

Orbot (App per dispositivi Android)

Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org

TOR – SCENARIO CLASSICO

web server

TOR

Internet

client

cifratoin chiaro

Sito web con contenuti illeciti

Necessità di identificare gli utenti che vi si connettono

DIGITAL INVESTIGATION

7Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library

Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/

Fase 1(pre)

Fase 2(cross)

Fase 3(post)

indagato

investigatore

TOR USER C&C

Un possibile approccio informatico

Hack back!?

Prevede:

Web Server: modifica della risposta del server sulla specifica risorsa

Collaborativo, civetta, ISP, hack

L’utilizzo di BeEF (The Browser Exploitation Framework)

TorBundle lato client 2

3

1

TOR USER C&C

web serverbeefed

Beef Hook server

Beef C&C

1. Web server beefed

2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js

3. Il browser del client scarica l’hookjs dal sever beef

4. Hook viene eseguito

5. L’hook fa sì che il browser del client si connetta al Beef c&c

6. Landing now

12

clientTorBundle

3

4

TOR

5

62

3

1

TOR USER C&C

beefed

Beef C&C

TOR C&C

6

TOR C&C

TOR C&C

Figura 1

Figura 2

Figure 3 e 4

TOR C&C

CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)

CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)

CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)

TOR BROWSER BUNDLE

Il Tor Browser può essere utilizzato su:

Windows

Mac

Linux

Una volta scaricato dal sito può essere eseguito:

Da computer

Da Pen Drive/Hard disk esterno

AMBIENTE DI TEST

Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato

Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit

Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1)

Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente

Accensione della macchina virtuale

Collegamento del Pen Drive alla macchina virtuale

AMBIENTE DI TEST

Esecuzione del Tor Browser dal pen drive

Connessione alla rete TOR

Navigazione sui seguenti siti web, mediante inserimento del link nel browser:

http://www.repubblica.it

http:// www.genoacfc.it

http:// www.corriere.it

http:// www.gazzetta.it

http://www.forensicfocus.com/

http://silkroad6ownowfk.onion

http://onion.is-found.org/

http://torwiki4wrlpz32o.onion/index.php/Main_Page

https://www.apple.com/it/

AMBIENTE DI TEST

Sospensione della macchina virtuale

Acquisizione del dump della memoria con il browser ancora aperto

Ripresa dalla macchina virtuale

Chiusura del browser

Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.)

Sospensione della macchina virtuale

Acquisizione del dump della memoria con il browser chiuso

ANALISI DELL TRACCE

In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor

Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows

https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf

Per verificare i risultati e individuare eventuali elementi di interesse sono stati analizzati:

Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser

File VMDK contenente l’immagine della macchina virtuale 2

3

1

ANALISI DELL TRACCE SU PEN DRIVE

Le cartelle di maggior interesse per l’analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser

CARTELLA DATA\TOR

I file di maggior interesse sono:

state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione

torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità

CARTELLA DATA\BROWSER

I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità

ALTRE TRACCE POSSIBILI SU PEN DRIVE

L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR

Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono:

Bookmarks/preferiti (Places.sqlite)

Lista dei file scaricati (Downloads.sqlite)

ANALISI DELL TRACCE SU HARD DISK

L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave:

Tor

Torrc

Geoip

Torproject

URL dei siti web visitati

ANALISI DELL TRACCE SU HARD DISK

La ricerca effettuata con la parola chiave Tor ha evidenziato:

File di Prefetch denominato TOR.EXE-XXXXXXX.pf

File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf

Valore all’interno del registro utente nella chiave User Assist

Corrispondenze all’interno del file BookCKCL.etl

Elevata quantità di corrispondenze nel file pagefile.sys

ANALISI DELL TRACCE SU HARD DISK

La ricerca effettuata con le parole chiave Torrc, Torproject e Geoip ha evidenziato:

Corrispondenze all’interno del file BookCKCL.etl

Elevata quantità di corrispondenze nel file pagefile.sys

La ricerca effettuata con le parole chiave relative agli URL dei siti web visitati ha evidenziato:

Elevata quantità di corrispondenze nel file pagefile.sys

ANALISI DEI FILE DI PREFETCH

I file di Prefetch permettono di individuare:

La data di primo utilizzo di Tor Browser

La data di ultimo utilizzo di Tor Browser

Il numero di esecuzioni di Tor Browser

ANALISI DEL REGISTRO NTUSER.DAT

La chiave User Assist del registro NTUSER.DAT permette di identificare:

Data di ultima esecuzione dell’applicazione

Numero di esecuzioni

Percorso di esecuzione

I valori sono memorizzati in ROT-13

Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi

ANALISI DEL PAGEFILE

Non è possibile fare un’analisi sulla struttura

Ma attraverso la ricerca per stringa si possono trovare elementi interessanti

Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema

ANALISI DEL PAGEFILE – BULK EXTRACTOR

ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER

ALTRE TRACCE SU HARD DISK (PAPER)

Nel paper di Runa Sandivik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare:

Thumbnail Cache

Registro USRCLASS.DAT

Windows Search Database

ANALISI DEI DUMP DI MEMORIA

I dump di memoria sono stati analizzati utilizzando Volatility

Pslist

Psscan

Netscan

Procmemdump

E mediante ricerca per parola chiave

Tor

Torrc

Geoip

Torproject

URL dei siti web visitati

DUMP DI MEMORIA – TOR AVVIATO - PSLIST

DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS

DUMP DI MEMORIA – TOR CHIUSO - PSLIST

DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS

DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE

DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE

HIBERFIL.SYS

Il file hiberfil.sys è il file di ibernazione di Windows

Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»

L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»

Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)

Posso analizzarlo utilizzando

Volatility (pslist, psscan, connections, ecc.)

Ricerca per keyword

METODOLOGIA DI ANALISI HARD DISK

• Data di primo utilizzo

• Data di ultimo utilizzo

• Numero di esecuzioni

File di Prefetch

• Percorso di esecuzione

• Data di ultimo utilizzo

• Numero di esecuzioni

• Verificare eventuale storico del valore tramite VSS

Registro NTUSER\UserAssist

• Thumbnail Cache

• Registro USRCLASS.DAT

• Windows Search Database

• BookCKCL.etl

Altre informazioni di interesse

• HTTP-memory-only-PB

• Torproject

• Tor

• Torrc

• Geoip

• Torbutton

• Tor-launcher

Pagefile.sys (ricerca per keyword)

• Convertire in un dump di RAM

• Analizzare attraverso

• Volatility

• Ricerca per keyword

Hiberfil.sys

TAILS

ICEWEASELS

TAILS - ANALISI DELLE TRACCE

Nessuna traccia su hard disk!

E’ un sistema live Lavora direttamente in RAM

Unica possibilità: acquisire la RAM mentre il computer è ancora acceso

Recupero unicamente le informazioni della esecuzione attuale

BITCOIN…OVUNQUE SE NE PARLA…

BITCOIN - TRANSAZIONI

BITCOIN WALLET

BITCOIN-QT

WALLET.DAT

WALLET DATA RECOVERY

TOR - SITI WEB DI RIFERIMENTO

Tor Projecthttps://www.torproject.org

Tor2Webhttps://www.onion.to/http://tor2web.org/

HideMyAsshttp://www.hidemyass.com/

The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)

Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf

FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf

Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic

BITCOIN - PUBBLICAZIONI DI RIFERIMENTO

Bitcoinhttps://bitcoin.org/it/

Bitcoinhttp://it.wikipedia.org/wiki/Bitcoin

Bitcoin Foundationhttps://bitcoinfoundation.org/

We Use Coinshttps://www.weusecoins.com/en/

Blockchain Infohttp://blockchain.info/it

Bitcoin Forensics – A Journey into the Dark Webhttp://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/

Q&A?

Mattia Epifani

Digital Forensics Expert

CEO @ REALITY NET – System Solutions

Past President @ DFA Association

GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC

Mail mattia.epifani@realitynet.it

Twitter @mattiaep

Linkedin http://www.linkedin.com/in/mattiaepifani