IO USO TOR E NON LASCIO TRACCE! SEI PROPRIO SICURO?

MATTIA EPIFANI

UTILIZZO DEI SISTEMI DI ANONIMATO

Anonimato su Internet

Per ragioni di

Privacy and Safety

Cyber Crime and Traditional Crime (e.g. Drug)

Diverse tecniche e strumenti:

Proxy

Teste di ponte

TOR

RETE TOR – TORPROJECT.ORG

TOR – SCENARIO CLASSICO

web server

TOR

Internet

client

cifratoin chiaro

Sito web con contenuti illeciti

Necessità di identificare gli utenti che vi si connettono

TOR USER C&C

Un possibile approccio informatico

Hack back!?

Prevede:

Web Server: modifica della risposta del server sulla specifica risorsa

Collaborativo, civetta, ISP, hack

L’utilizzo di BeEF (The Browser Exploitation Framework)

Tor Browser Bundle lato client

TOR USER C&C

web serverbeefed

Beef Hook server

Beef C&C

1. Web server beefed

2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js

3. Il browser del client scarica l’hookjs dal sever beef

4. Hook viene eseguito

5. L’hook fa sì che il browser del client si connetta al Beef c&c

6. Landing now

12

clientTorBundle

3

4

TOR

5

62

3

1

TOR USER C&C

beefed

Beef C&C

TOR C&C

TOR C&C

TOR C&C

TOR C&C

TOR C&C

STRUMENTI PER L’ACCESSO ALLA RETE TOR

TOR BROWSER BUNDLE

Il Tor Browser può essere utilizzato su:

Windows

Mac

Linux

Una volta scaricato dal sito può essere eseguito:

Da computer

Da Pen Drive/Hard disk esterno

FORENSIC ANALYSIS OF THE TOR BROWSER BUNDLE

Una interessante ricerca del 2013 è già disponibile (Runa Sandvik)

Forensic Analysis of the Tor Browser Bundle on OS X, Linux,

and Windows

https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf

La nostra ricerca è mirata a confermare i risultati già raggiunti e individuare nuovi elementi di interesse

TOR BROWSER BUNDLE

CARTELLA TOR BROWSER

Le cartelle più interessanti sono:

\Data\Tor \Data\Browser

CARTELLA \DATA\TOR

State: contiene la data di ultima esecuzione

Torrc: contiene il percorso da cui è stato eseguito TOR comprensivo della lettera di unità

CARTELLA \DATA\BROWSER

Contiene la tradizionale cartella del profilo di Firefox, ma senza tracce di utilizzo (cronologia, cache, ecc.)

I file più interessanti sono Compatibility.ini e Extension.ini che contengono nuovamente il path di esecuzione dell’applicazione

BOOKMARKS

L’unica informazione presente sono eventuali bookmarks salvati dall’utente (file Places.sqlite)

ANALISI DEL SISTEMA OPERATIVO

Informazioni sull’utilizzo di TOR si riscontrano in:

Prefetch file TORBROWSERINSTALL-<VERSION>-<PATH-HASH>.pf

Prefetch file TOR.EXE-<PATH-HASH>.pf

Prefetch file START TOR BROWSER.EXE-<PATH-HASH>.pf

NTUSER.DAT registry hive User Assist key

BookCKCL.etl e Windows Search Database

Pagefile

FILE DI PREFETCH

Possiamo identificare:

Data di installazione

Data di prima esecuzione

Data di ultima esecuzione

Numero di esecuzioni

USER ASSIST

Possiamo recuperare:

Data di ultima esecuzione

Numero di esecuzioni

Percorso di esecuzione

Analizzando i diversi file NTUSER.DAT presenti nelle VSS (Volume Shadow Copies) possiamoverificare il numero di esecuzioninel tempo

BOOKCKCL.ETL E WINDOWS SEARCH DATABASE

Se l’utente ha rimosso le tracce del sistema operativo in modo sicuro possiamo ancora recuperare qualche informazione…

Dalla presenza dei nomi dei file di Prefetch possiamo almeno dire che Tor Browser è stato utilizzato su quel computer

PAGEFILE.SYS

Area del hard disk riservata e utilizzata come estensione dellamemoria RAM

Attivato di default in Windows

Viene creato dal sistema un file grande quanto la memoria RAM disponibile

PAGEFILE.SYS

Qui possiamo trovare informazioni relative aisiti web visitati!

E’ necessario utilizzare la keywordHTTP-memory-only-PB

ANALISI DEL PAGEFILE – BULK EXTRACTOR

HTTP-MEMORY-ONLY-PB

Tor Browser utilizza la funzionalità di Private Browsing di Mozilla Firefox

HTTP-MEMORY-ONLY-PB è la funzione utilizzata da Mozilla Firefox per la gestione dei file di cache in modalità Private Browsing e che si occupa di non salvare i file su disco ma tenerli in RAM

Tipicamente la versione più recente di Tor Browser è antecedente allaversione più recente di Firefox

Per distinguere quindi se l’attività di navigazione è stata fatta con Firefox o con Tor Browser:

Verifico se Firefox è installato nel sistema

Se è installato, verifico la versione

ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER

ANALISI DEI DUMP DI MEMORIA

Se ho a disposizione un DUMP di memoria posso usare software come Volatility o Rekall

Pslist

Psscan

Netscan

Procmemdump

Oppure fare una ricerca per parola chiave

Tor

Torrc

Geoip

Torproject

URL dei siti web visitati

DUMP DI MEMORIA – TOR AVVIATO - PSLIST

DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS

DUMP DI MEMORIA – TOR CHIUSO - PSLIST

DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS

HIBERFIL.SYS

Il file hiberfil.sys è il file di ibernazione di Windows

Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»

L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»

Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)

Posso analizzarlo utilizzando

Volatility (pslist, psscan, connections, ecc.)

Rekall

Ricerca per keyword

METODOLOGIA DI ANALISI

• Data di installazione

• Data di prima esecuzione

• Data di ultima esecuzione

• Numero di esecuzioni

Prefetch files

• Percorso di esecuzione

• Data di ultima esecuzione

• Numero di esecuzioni

• Analisi temporale del numero di esecuzioni in un periodo temporale (VSS)

NTUSER\UserAssist key

• BookCKCL.etl

• Thumbnail Cache

• USRCLASS.DAT registry

• Windows Search Database

Altri possibili artifacts

• HTTP-memory-only-PB

• Torproject

• Tor

• Torrc

• Geoip

• Torbutton

• Tor-launcher

Pagefile.sys (keywords search)

• Convertire a memory dump

• Analizzare utilizzando

• Volatility

• Rekall

• Keywords search (vedi Pagefile.sys)

Hiberfil.sys

TAILS

ICEWEASELS

TAILS - ANALISI DELLE TRACCE

E’ un sistema live Lavora direttamente in RAM

Nessuna traccia su hard disk!

Unica possibilità: acquisire la RAM mentre il computer è ancora acceso

Recupero unicamente le informazioni della esecuzione attuale

PROSSIME ATTIVITA’ DI RICERCA

E’ possibile individuare riferimenti temporali?

Cosa succede in altri ambienti operativi?

Mac OS X

Linux

Android

Test con altri strumenti opensource

Page brute

Rekall

PAGE BRUTE

REKALL E PAGEFILE

TOR - RIFERIMENTI

Tor Projecthttps://www.torproject.org

Tor2Webhttps://www.onion.to/http://tor2web.org/

HideMyAsshttp://www.hidemyass.com/

The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)

Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf

FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf

Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic

DFA – DIGITAL FORENSICS ALUMNI

Digital ForensicsAlumni (DFA)

DFA nasce nel 2009 da una

iniziativa di ex corsisti del Corso di Perfezionamento in "Computer

Forensics ed investigazioni digitali"

dell'Università degli Studi di Milano.

La multidisciplinarietà dei suoi

componenti (giuristi, tecnici, investigatori, ecc) ha permesso di

creare una realtà di condivisione di

esperienze e idee.

• eventi di aggiornamento

formativo e di

approfondimento gratuiti

ed aperti al pubblico;

• servizio di newsletter

mensile sulle ultime novità

della Digital Forensics, per

rimanere aggiornato su

nuove release di software e

tecniche di analisi, review

di nuovi paper pubblicati,

aggiornamenti dalle più

importanti conferenze

internazionali, contributi

giuridici, dottrina sul tema

ed altro ancora..

www.perfezionisti.it

Q&A?

Mattia Epifani

Digital Forensics Analyst

DFA – Digital Forensics Alumni Association

CEO @ REALITY NET – System Solutions

GCFA, GMOB, GREM

CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC

Mail mattia.epifani@realitynet.it

Twitter @mattiaep

Linkedin http://www.linkedin.com/in/mattiaepifani

Blog http://blog.digital-forensics.it

http://mattiaep.blogspot.it