TOR & BITCOIN FORENSICS MATTIA EPIFANI LUGANO, 12 MARZO 2013
DEEP WEB Solo il 4% dei contenuti presenti su Internet sono indicizzati dai motori di ricerca Circa 8 zettabytes di dati sono conservati su server accessibili unicamente tramite reti anonime o su siti web ad accesso protetto
TOR E BITCOIN: UN LEGAME INDISSOLUBILE? L accesso alle pagine del Deep Web in molti casi è possibile unicamente attraverso connessioni alla rete Tor (The Onion Router) Gli acquisti all interno del Deep Web avvengono prevalentemente con monete elettroniche come Bitcoin Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del sistema di scambio di cripto-monete sta facendo vacillare questo sistema alternativo
ANONIMATO Anonimato (Internet) Per ragioni di privacy, di «safety», criminali Molteplici tecniche e strumenti Proxy Teste di ponte TOR
RETE TOR THE ONION ROUTER Tor è un sistema di comunicazione anonima I peer non possono conoscere il reale IP dell interlocutore Connessioni «anonime» e servizi nascosti La navigazione su rete Tor avviene, tipicamente, attraverso: Tor Browser Bundle (Windows/Mac/Linux) Live CD/USB Tails Orbot (App per dispositivi Android) Tutti i tool sono scaricabili all indirizzo https://www.torproject.org
TOR SCENARIO CLASSICO Internet in chiaro TOR cifrato web server client Sito web con contenuti illeciti Necessità di identificare gli utenti che vi si connettono
DIGITAL INVESTIGATION indagato investigatore Fase 1 (pre) Fase 2 (cross) Fase 3 (post) Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/ 7
TOR USER C&C Un possibile approccio informatico Hack back!? Prevede: Web Server: modifica della risposta del server sulla specifica risorsa Collaborativo, civetta, ISP, hack L utilizzo di BeEF (The Browser Exploitation Framework) 3 Tor Browser Bundle lato client 2 1
TOR USER C&C 1 2 1. Web server beefed 2. Client si connette al server web e ne riceve la pagina con il riferimento all hook js web server beefed 5 3 TOR 4 3. Il browser del client scarica l hook js dal sever beef 4. Hook viene eseguito 5. L hook fa sì che il browser del client si connetta al Beef c&c 6. Landing now Beef Hook server Beef C&C 6 client TorBundle 3 2 1
TOR USER C&C beefed Beef C&C
TOR C&C 6
TOR C&C
TOR C&C Figura 2 Figura 1 Figure 3 e 4
TOR C&C
CONSIGLI PER L USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L USO DI TOR (TORPROJECT.ORG)
TOR BROWSER BUNDLE Il Tor Browser può essere utilizzato su: Windows Mac Linux Una volta scaricato dal sito può essere eseguito: Da computer Da Pen Drive/Hard disk esterno
AMBIENTE DI TEST Al fine di verificare le tracce lasciate dall utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1) Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente Accensione della macchina virtuale Collegamento del Pen Drive alla macchina virtuale
AMBIENTE DI TEST Esecuzione del Tor Browser dal pen drive Connessione alla rete TOR Navigazione sui seguenti siti web, mediante inserimento del link nel browser: http://www.repubblica.it http:// www.genoacfc.it http:// www.corriere.it http:// www.gazzetta.it http://www.forensicfocus.com/ http://silkroad6ownowfk.onion http://onion.is-found.org/ http://torwiki4wrlpz32o.onion/index.php/main_page https://www.apple.com/it/
AMBIENTE DI TEST Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser ancora aperto Ripresa dalla macchina virtuale Chiusura del browser Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.) Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser chiuso
ANALISI DELL TRACCE Per individuare eventuali elementi di interesse sono stati analizzati: Copia forense del pen drive utilizzato per l esecuzione del Tor Browser File VMDK contenente l immagine della macchina virtuale Dump della RAM 3 2 1
ANALISI DELL TRACCE SU PEN DRIVE Le cartelle di maggior interesse per l analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser
CARTELLA DATA\TOR I file di maggior interesse sono: state, contenente lo stato del browser al momento dell esecuzione e la data di ultima esecuzione torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità
CARTELLA DATA\BROWSER I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell applicazione, comprensivo della lettera di unità
ALTRE TRACCE POSSIBILI SU PEN DRIVE L utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell utilizzo della rete TOR Esempi di informazioni che l utente potrebbe memorizzare (volontariamente o meno) sono: Bookmarks/preferiti (Places.sqlite) Lista dei file scaricati (Downloads.sqlite)
ANALISI DELL TRACCE SU HARD DISK L analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave: Tor Torrc Geoip Torproject URL dei siti web visitati
ANALISI DELL TRACCE SU HARD DISK La ricerca effettuata con la parola chiave Tor ha evidenziato: File di Prefetch denominato TOR.EXE-XXXXXXX.pf File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf Valore all interno del registro utente nella chiave User Assist Elevata quantità di corrispondenze nel file pagefile.sys
ANALISI DELL TRACCE SU HARD DISK La ricerca effettuata con le parole chiave Torrc, Torproject, Geoip e con gli URL dei siti web visitati ha evidenziato un elevata quantità di corrispondenze all interno del file pagefile.sys
ANALISI DEI FILE DI PREFETCH I file di Prefetch permettono di individuare: La data di primo utilizzo di Tor Browser La data di ultimo utilizzo di Tor Browser Il numero di esecuzioni di Tor Browser
ANALISI DEL REGISTRO NTUSER.DAT La chiave User Assist del registro NTUSER.DAT permette di identificare: Data di ultima esecuzione dell applicazione Numero di esecuzioni Percorso di esecuzione I valori sono memorizzati in ROT-13 Effettuando un analisi comparata dei registri NTUSER.DAT all interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi
ANALISI DEL PAGEFILE Non è possibile fare un analisi sulla struttura Ma attraverso la ricerca per stringa si possono trovare elementi interessanti Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema
ANALISI DEL PAGEFILE BULK EXTRACTOR
ANALISI DEL PAGEFILE INTERNET EVIDENCE FINDER
ALTRE TRACCE SU HARD DISK (PAPER) In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06- 28.pdf Nel paper di Runa Sandvik sono riportati ulteriori elementi che possono contenere riferimenti all esecuzione del Tor Browser, e in particolare: Thumbnail Cache, IconChace.db Registro USRCLASS.DAT Windows Search Database
ANALISI DEI DUMP DI MEMORIA I dump di memoria sono stati analizzati utilizzando Volatility Pslist Psscan Netscan Procmemdump E mediante ricerca per parola chiave Tor Torrc Geoip Torproject URL dei siti web visitati
DUMP DI MEMORIA TOR AVVIATO - PSLIST
DUMP DI MEMORIA TOR AVVIATO CONNECTIONS
DUMP DI MEMORIA TOR CHIUSO - PSLIST
DUMP DI MEMORIA TOR CHIUSO - CONNECTIONS
DUMP DI MEMORIA TOR AVVIATO RICERCA PER PAROLA CHIAVE
DUMP DI MEMORIA TOR CHIUSO RICERCA PER PAROLA CHIAVE
HIBERFIL.SYS Il file hiberfil.sys è il file di ibernazione di Windows Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato» L analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo» Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility) Posso analizzarlo utilizzando Volatility (pslist, psscan, connections, ecc.) Ricerca per keyword
METODOLOGIA DI ANALISI HARD DISK File di Prefetch Data di primo utilizzo Data di ultimo utilizzo Numero di esecuzioni Registro NTUSER\UserAssist Percorso di esecuzione Data di ultimo utilizzo Numero di esecuzioni Verificare eventuale storico del valore tramite VSS Altre informazioni di interesse Thumbnail Cache Registro USRCLASS.DAT Windows Search Database BookCKCL.etl Pagefile.sys (ricerca per keyword) HTTP-memory-only-PB Torproject Tor Torrc Geoip Torbutton Tor-launcher Hiberfil.sys Convertire in un dump di RAM Analizzare attraverso Volatility Ricerca per keyword
TAILS
ICEWEASELS
TAILS - ANALISI DELLE TRACCE Nessuna traccia su hard disk! E un sistema live Lavora direttamente in RAM Unica possibilità: acquisire la RAM mentre il computer è ancora acceso Recupero unicamente le informazioni della esecuzione attuale
BITCOIN OVUNQUE SE NE PARLA
BITCOIN - TRANSAZIONI
BITCOIN WALLET
BITCOIN-QT
WALLET.DAT
WALLET DATA RECOVERY
IISFA FORUM & CYBERCOP
TOR - RIFERIMENTI Tor Project https://www.torproject.org Tor2Web https://www.onion.to/ http://tor2web.org/ HideMyAss http://www.hidemyass.com/ The Onion Router (Wikipedia) http://it.wikipedia.org/wiki/tor_(software) Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSE http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf Detecting Tor Communication in Network Traffic http://www.netresec.com/?page=blog&month=2013-04&post=detecting-tor-communication-in-network-traffic
BITCOIN - RIFERIMENTI Bitcoin https://bitcoin.org/it/ Bitcoin http://it.wikipedia.org/wiki/bitcoin Bitcoin Foundation https://bitcoinfoundation.org/ We Use Coins https://www.weusecoins.com/en/ Blockchain Info http://blockchain.info/it Bitcoin Forensics A Journey into the Dark Web http://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/
Q&A? Mattia Epifani Digital Forensics Expert CEO @ REALITY NET System Solutions Responsabile della formazione @ IISFA Italian Chapter Past President @ DFA Association GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC Mail Twitter Linkedin Blog mattia.epifani@realitynet.it @mattiaep http://www.linkedin.com/in/mattiaepifani http://mattiaep.blogspot.it