Presentazione M. Epifani
Transcript
Presentazione M. Epifani
TOR & BITCOIN FORENSICS MATTIA EPIFANI LUGANO, 12 MARZO 2013 DEEP WEB Solo il 4% dei contenuti presenti su Internet sono indicizzati dai motori di ricerca Circa 8 zettabytes di dati sono conservati su server accessibili unicamente tramite reti anonime o su siti web ad accesso protetto TOR E BITCOIN: UN LEGAME INDISSOLUBILE? L’accesso alle pagine del Deep Web in molti casi è possibile unicamente attraverso connessioni alla rete Tor (The Onion Router) Gli acquisti all’interno del Deep Web avvengono prevalentemente con monete elettroniche come Bitcoin Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del sistema di scambio di cripto-monete sta facendo vacillare questo sistema alternativo ANONIMATO Anonimato (Internet) Per ragioni di privacy, di «safety», criminali Molteplici tecniche e strumenti Proxy Teste di ponte TOR RETE TOR – THE ONION ROUTER Tor è un sistema di comunicazione anonima I peer non possono conoscere il reale IP dell’interlocutore Connessioni «anonime» e servizi nascosti La navigazione su rete Tor avviene, tipicamente, attraverso: Tor Browser Bundle (Windows/Mac/Linux) Live CD/USB Tails Orbot (App per dispositivi Android) Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org TOR – SCENARIO CLASSICO Internet in chiaro TOR web server Sito web con contenuti illeciti Necessità di identificare gli utenti che vi si connettono cifrato client DIGITAL INVESTIGATION indagato investigatore Fase 1 (pre) Fase 2 (cross) Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/ Fase 3 (post) 7 TOR USER C&C Un possibile approccio informatico Hack back!? Prevede: Web Server: modifica della risposta del server sulla specifica risorsa Collaborativo, civetta, ISP, hack L’utilizzo di BeEF (The Browser Exploitation Framework) 3 Tor Browser Bundle lato client 2 1 TOR USER C&C 1. Web server beefed 1 2. Client si connette al server web e 2 ne riceve la pagina con il riferimento all’hook js 3. Il browser del client scarica l’hook TOR web server beefed js dal sever beef 4. Hook viene eseguito 3 5 Beef Hook server Beef C&C 6 5. L’hook fa sì che il browser del client si connetta al Beef c&c 4 client TorBundle 6. Landing now 3 2 1 TOR USER C&C beefed Beef C&C TOR C&C 6 TOR C&C TOR C&C Figura 2 Figura 1 Figure 3 e 4 TOR C&C CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG) TOR BROWSER BUNDLE Il Tor Browser può essere utilizzato su: Windows Mac Linux Una volta scaricato dal sito può essere eseguito: Da computer Da Pen Drive/Hard disk esterno AMBIENTE DI TEST Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1) Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente Accensione della macchina virtuale Collegamento del Pen Drive alla macchina virtuale AMBIENTE DI TEST Esecuzione del Tor Browser dal pen drive Connessione alla rete TOR Navigazione sui seguenti siti web, mediante inserimento del link nel browser: http://www.repubblica.it http:// www.genoacfc.it http:// www.corriere.it http:// www.gazzetta.it http://www.forensicfocus.com/ http://silkroad6ownowfk.onion http://onion.is-found.org/ http://torwiki4wrlpz32o.onion/index.php/Main_Page https://www.apple.com/it/ AMBIENTE DI TEST Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser ancora aperto Ripresa dalla macchina virtuale Chiusura del browser Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.) Sospensione della macchina virtuale Acquisizione del dump della memoria con il browser chiuso ANALISI DELL TRACCE Per individuare eventuali elementi di interesse sono stati analizzati: Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser File VMDK contenente l’immagine della macchina virtuale Dump della RAM 3 2 1 ANALISI DELL TRACCE SU PEN DRIVE Le cartelle di maggior interesse per l’analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser CARTELLA DATA\TOR I file di maggior interesse sono: state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità CARTELLA DATA\BROWSER I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità ALTRE TRACCE POSSIBILI SU PEN DRIVE L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono: Bookmarks/preferiti (Places.sqlite) Lista dei file scaricati (Downloads.sqlite) ANALISI DELL TRACCE SU HARD DISK L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave: Tor Torrc Geoip Torproject URL dei siti web visitati ANALISI DELL TRACCE SU HARD DISK La ricerca effettuata con la parola chiave Tor ha evidenziato: File di Prefetch denominato TOR.EXE-XXXXXXX.pf File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf Valore all’interno del registro utente nella chiave User Assist Elevata quantità di corrispondenze nel file pagefile.sys ANALISI DELL TRACCE SU HARD DISK La ricerca effettuata con le parole chiave Torrc, Torproject, Geoip e con gli URL dei siti web visitati ha evidenziato un’elevata quantità di corrispondenze all’interno del file pagefile.sys ANALISI DEI FILE DI PREFETCH I file di Prefetch permettono di individuare: La data di primo utilizzo di Tor Browser La data di ultimo utilizzo di Tor Browser Il numero di esecuzioni di Tor Browser ANALISI DEL REGISTRO NTUSER.DAT La chiave User Assist del registro NTUSER.DAT permette di identificare: Data di ultima esecuzione dell’applicazione Numero di esecuzioni Percorso di esecuzione I valori sono memorizzati in ROT-13 Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi ANALISI DEL PAGEFILE Non è possibile fare un’analisi sulla struttura Ma attraverso la ricerca per stringa si possono trovare elementi interessanti Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema ANALISI DEL PAGEFILE – BULK EXTRACTOR ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER ALTRE TRACCE SU HARD DISK (PAPER) In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-0628.pdf Nel paper di Runa Sandvik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare: Thumbnail Cache, IconChace.db Registro USRCLASS.DAT Windows Search Database ANALISI DEI DUMP DI MEMORIA I dump di memoria sono stati analizzati utilizzando Volatility Pslist Psscan Netscan Procmemdump E mediante ricerca per parola chiave Tor Torrc Geoip Torproject URL dei siti web visitati DUMP DI MEMORIA – TOR AVVIATO - PSLIST DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS DUMP DI MEMORIA – TOR CHIUSO - PSLIST DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE HIBERFIL.SYS Il file hiberfil.sys è il file di ibernazione di Windows Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato» L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo» Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility) Posso analizzarlo utilizzando Volatility (pslist, psscan, connections, ecc.) Ricerca per keyword METODOLOGIA DI ANALISI HARD DISK File di Prefetch • Data di primo utilizzo • Data di ultimo utilizzo • Numero di esecuzioni Registro NTUSER\UserAssist • Percorso di esecuzione • Data di ultimo utilizzo • Numero di esecuzioni • Verificare eventuale storico del valore tramite VSS Altre informazioni di interesse • Thumbnail Cache • Registro USRCLASS.DAT • Windows Search Database • BookCKCL.etl Pagefile.sys (ricerca per keyword) • • • • • • • HTTP-memory-only-PB Torproject Tor Torrc Geoip Torbutton Tor-launcher Hiberfil.sys • Convertire in un dump di RAM • Analizzare attraverso • Volatility • Ricerca per keyword TAILS ICEWEASELS TAILS - ANALISI DELLE TRACCE Nessuna traccia su hard disk! E’ un sistema live Lavora direttamente in RAM Unica possibilità: acquisire la RAM mentre il computer è ancora acceso Recupero unicamente le informazioni della esecuzione attuale BITCOIN…OVUNQUE SE NE PARLA… BITCOIN - TRANSAZIONI BITCOIN WALLET BITCOIN-QT WALLET.DAT WALLET DATA RECOVERY IISFA FORUM & CYBERCOP TOR - RIFERIMENTI Tor Project https://www.torproject.org Tor2Web https://www.onion.to/ http://tor2web.org/ HideMyAss http://www.hidemyass.com/ The Onion Router (Wikipedia) http://it.wikipedia.org/wiki/Tor_(software) Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSE http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf Detecting Tor Communication in Network Traffic http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic BITCOIN - RIFERIMENTI Bitcoin https://bitcoin.org/it/ Bitcoin http://it.wikipedia.org/wiki/Bitcoin Bitcoin Foundation https://bitcoinfoundation.org/ We Use Coins https://www.weusecoins.com/en/ Blockchain Info http://blockchain.info/it Bitcoin Forensics – A Journey into the Dark Web http://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/ Q&A? Mattia Epifani Digital Forensics Expert CEO @ REALITY NET – System Solutions Responsabile della formazione @ IISFA Italian Chapter Past President @ DFA Association GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC Mail [email protected] Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it