Presentazione M. Epifani

TOR & BITCOIN FORENSICS
MATTIA EPIFANI
LUGANO, 12 MARZO 2013
DEEP WEB
 Solo il 4% dei contenuti presenti
su Internet sono indicizzati dai
motori di ricerca
 Circa 8 zettabytes di dati
sono conservati su server
accessibili unicamente tramite
reti anonime o su siti web ad
accesso protetto
TOR E BITCOIN: UN LEGAME INDISSOLUBILE?
 L’accesso alle pagine del Deep Web in molti casi è possibile unicamente
attraverso connessioni alla rete Tor (The Onion Router)
 Gli acquisti all’interno del Deep Web avvengono prevalentemente con
monete elettroniche come Bitcoin
 Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del
sistema di scambio di cripto-monete sta facendo vacillare questo sistema
alternativo
ANONIMATO
 Anonimato (Internet)
 Per ragioni di privacy, di «safety», criminali
 Molteplici tecniche e strumenti
 Proxy
 Teste di ponte
 TOR
RETE TOR – THE ONION ROUTER
 Tor è un sistema di comunicazione anonima
 I peer non possono conoscere il reale IP dell’interlocutore
 Connessioni «anonime» e servizi nascosti
 La navigazione su rete Tor avviene, tipicamente, attraverso:
 Tor Browser Bundle (Windows/Mac/Linux)
 Live CD/USB Tails
 Orbot (App per dispositivi Android)
 Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org
TOR – SCENARIO CLASSICO
Internet
in chiaro
TOR
web
server
 Sito web con contenuti illeciti
 Necessità di identificare gli utenti che vi si connettono
cifrato
client
DIGITAL INVESTIGATION
indagato
investigatore
Fase 1
(pre)
Fase 2
(cross)
Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library
Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/
Fase 3
(post)
7
TOR USER C&C
 Un possibile approccio informatico
 Hack back!?
Prevede:
 Web Server: modifica della risposta del server sulla specifica risorsa
 Collaborativo, civetta, ISP, hack
 L’utilizzo di BeEF (The Browser Exploitation Framework)
3
 Tor Browser Bundle lato client
2
1
TOR USER C&C
1. Web server beefed
1
2. Client si connette al server web e
2
ne riceve la pagina con il
riferimento all’hook js
3. Il browser del client scarica l’hook
TOR
web
server
beefed
js dal sever beef
4. Hook viene eseguito
3
5
Beef Hook
server
Beef C&C
6
5. L’hook fa sì che il browser del
client si connetta al Beef c&c
4
client
TorBundle
6. Landing now
3
2
1
TOR USER C&C
beefed
Beef C&C
TOR C&C
6
TOR C&C
TOR C&C
Figura 2
Figura 1
Figure 3 e 4
TOR C&C
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
TOR BROWSER BUNDLE
 Il Tor Browser può essere utilizzato su:
 Windows
 Mac
 Linux
 Una volta scaricato dal sito può essere eseguito:
 Da computer
 Da Pen Drive/Hard disk esterno
AMBIENTE DI TEST
 Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7
è stato predisposto un ambiente di test dedicato
 Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit
 Download da altro computer del pacchetto di installazione del Tor Browser Bundle
(vers. 3.5.2.1)
 Estrazione del Browser su Pen Drive USB completamente sovrascritto
precedentemente
 Accensione della macchina virtuale
 Collegamento del Pen Drive alla macchina virtuale
AMBIENTE DI TEST
 Esecuzione del Tor Browser dal pen drive
 Connessione alla rete TOR
 Navigazione sui seguenti siti web, mediante inserimento del link nel browser:
 http://www.repubblica.it
 http:// www.genoacfc.it
 http:// www.corriere.it
 http:// www.gazzetta.it
 http://www.forensicfocus.com/
 http://silkroad6ownowfk.onion
 http://onion.is-found.org/
 http://torwiki4wrlpz32o.onion/index.php/Main_Page
 https://www.apple.com/it/
AMBIENTE DI TEST
 Sospensione della macchina virtuale
 Acquisizione del dump della memoria con il browser ancora aperto
 Ripresa dalla macchina virtuale
 Chiusura del browser
 Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario,
Pannello di controllo, ecc.)
 Sospensione della macchina virtuale
 Acquisizione del dump della memoria con il browser chiuso
ANALISI DELL TRACCE
 Per individuare eventuali elementi di interesse sono stati
analizzati:
 Copia forense del pen drive utilizzato per l’esecuzione del Tor
Browser
 File VMDK contenente l’immagine della macchina virtuale
 Dump della RAM
3
2
1
ANALISI DELL TRACCE SU PEN DRIVE
 Le cartelle di maggior interesse per l’analisi sono risultate:
 Cartella \Tor Browser\Data\Tor
Cartella \Tor Browser\Data\Browser
CARTELLA DATA\TOR
 I file di maggior interesse sono:
 state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione
 torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della
lettera di unità
CARTELLA DATA\BROWSER
 I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il
percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità
ALTRE TRACCE POSSIBILI SU PEN DRIVE
 L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre
tracce dell’utilizzo della rete TOR
 Esempi di informazioni che l’utente potrebbe memorizzare
(volontariamente o meno) sono:
 Bookmarks/preferiti (Places.sqlite)
 Lista dei file scaricati (Downloads.sqlite)
ANALISI DELL TRACCE SU HARD DISK
 L’analisi delle tracce su hard disk è stata effettuata
utilizzando le seguenti parole chiave:
 Tor
 Torrc
 Geoip
 Torproject
 URL dei siti web visitati
ANALISI DELL TRACCE SU HARD DISK
 La ricerca effettuata con la parola chiave Tor ha evidenziato:
 File di Prefetch denominato TOR.EXE-XXXXXXX.pf
 File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf
 Valore all’interno del registro utente nella chiave User Assist
 Elevata quantità di corrispondenze nel file pagefile.sys
ANALISI DELL TRACCE SU HARD DISK
 La ricerca effettuata con le parole chiave Torrc,
Torproject, Geoip e con gli URL dei siti web
visitati ha evidenziato un’elevata quantità di
corrispondenze all’interno del file pagefile.sys
ANALISI DEI FILE DI PREFETCH
 I file di Prefetch permettono di individuare:
 La data di primo utilizzo di Tor Browser
 La data di ultimo utilizzo di Tor Browser
 Il numero di esecuzioni di Tor Browser
ANALISI DEL REGISTRO NTUSER.DAT
 La chiave User Assist del registro
NTUSER.DAT permette di identificare:
 Data di ultima esecuzione dell’applicazione
 Numero di esecuzioni
 Percorso di esecuzione
 I valori sono memorizzati in ROT-13
 Effettuando un’analisi comparata dei
registri NTUSER.DAT all’interno delle
Volume Shadow Copies è possibile
definire, nel tempo, il numero di utilizzi
ANALISI DEL PAGEFILE
 Non è possibile fare un’analisi sulla struttura
 Ma attraverso la ricerca per stringa si possono trovare elementi interessanti
 Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema
ANALISI DEL PAGEFILE – BULK EXTRACTOR
ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER
ALTRE TRACCE SU HARD DISK (PAPER)
 In letteratura è già disponibile un interessante valutazione degli
«artifacts» rinvenuti su una macchina utilizzata per la navigazione
su Tor
 Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and
Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-0628.pdf
 Nel paper di Runa Sandvik sono riportati ulteriori elementi che possono
contenere riferimenti all’esecuzione del Tor Browser, e in particolare:
 Thumbnail Cache, IconChace.db
 Registro USRCLASS.DAT
 Windows Search Database
ANALISI DEI DUMP DI MEMORIA
 I dump di memoria sono stati analizzati utilizzando Volatility
 Pslist
 Psscan
 Netscan
 Procmemdump
 E mediante ricerca per parola chiave
 Tor
 Torrc
 Geoip
 Torproject
 URL dei siti web visitati
DUMP DI MEMORIA – TOR AVVIATO - PSLIST
DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS
DUMP DI MEMORIA – TOR CHIUSO - PSLIST
DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS
DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE
DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE
HIBERFIL.SYS
 Il file hiberfil.sys è il file di ibernazione di Windows
 Contiene un «dump» della memoria RAM del momento in cui il
computer è stato «ibernato»
 L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»
 Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)
 Posso analizzarlo utilizzando
 Volatility (pslist, psscan, connections, ecc.)
 Ricerca per keyword
METODOLOGIA DI ANALISI HARD DISK
File di Prefetch
• Data di primo utilizzo
• Data di ultimo utilizzo
• Numero di esecuzioni
Registro NTUSER\UserAssist
• Percorso di esecuzione
• Data di ultimo utilizzo
• Numero di esecuzioni
• Verificare eventuale storico del valore tramite VSS
Altre informazioni di interesse
• Thumbnail Cache
• Registro USRCLASS.DAT
• Windows Search Database
• BookCKCL.etl
Pagefile.sys
(ricerca per keyword)
•
•
•
•
•
•
•
HTTP-memory-only-PB
Torproject
Tor
Torrc
Geoip
Torbutton
Tor-launcher
Hiberfil.sys
• Convertire in un dump di RAM
• Analizzare attraverso
• Volatility
• Ricerca per keyword
TAILS
ICEWEASELS
TAILS - ANALISI DELLE TRACCE
 Nessuna traccia su hard disk!
 E’ un sistema live  Lavora direttamente in RAM
 Unica possibilità: acquisire la RAM mentre il computer è ancora acceso
 Recupero unicamente le informazioni della esecuzione attuale
BITCOIN…OVUNQUE SE NE PARLA…
BITCOIN - TRANSAZIONI
BITCOIN WALLET
BITCOIN-QT
WALLET.DAT
WALLET DATA RECOVERY
IISFA FORUM & CYBERCOP
TOR - RIFERIMENTI
 Tor Project
https://www.torproject.org
 Tor2Web
https://www.onion.to/
http://tor2web.org/
 HideMyAss
http://www.hidemyass.com/
 The Onion Router (Wikipedia)
http://it.wikipedia.org/wiki/Tor_(software)
 Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
 FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSE
http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf
 Detecting Tor Communication in Network Traffic
http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
BITCOIN - RIFERIMENTI
 Bitcoin
https://bitcoin.org/it/
 Bitcoin
http://it.wikipedia.org/wiki/Bitcoin
 Bitcoin Foundation
https://bitcoinfoundation.org/
 We Use Coins
https://www.weusecoins.com/en/
 Blockchain Info
http://blockchain.info/it
 Bitcoin Forensics – A Journey into the Dark Web
http://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/
Q&A?
Mattia Epifani
 Digital Forensics Expert
 CEO @ REALITY NET – System Solutions
 Responsabile della formazione @ IISFA Italian Chapter
 Past President @ DFA Association
 GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail
[email protected]
Twitter
@mattiaep
Linkedin
http://www.linkedin.com/in/mattiaepifani
Blog
http://mattiaep.blogspot.it