Post on 07-Jul-2015
transcript
IO USO TOR E NON LASCIO TRACCE! SEI PROPRIO SICURO?
MATTIA EPIFANI
UTILIZZO DEI SISTEMI DI ANONIMATO
Anonimato su Internet
Per ragioni di
Privacy and Safety
Cyber Crime and Traditional Crime (e.g. Drug)
Diverse tecniche e strumenti:
Proxy
Teste di ponte
TOR
RETE TOR – TORPROJECT.ORG
TOR – SCENARIO CLASSICO
web server
TOR
Internet
client
cifratoin chiaro
Sito web con contenuti illeciti
Necessità di identificare gli utenti che vi si connettono
TOR USER C&C
Un possibile approccio informatico
Hack back!?
Prevede:
Web Server: modifica della risposta del server sulla specifica risorsa
Collaborativo, civetta, ISP, hack
L’utilizzo di BeEF (The Browser Exploitation Framework)
Tor Browser Bundle lato client
TOR USER C&C
web serverbeefed
Beef Hook server
Beef C&C
1. Web server beefed
2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js
3. Il browser del client scarica l’hookjs dal sever beef
4. Hook viene eseguito
5. L’hook fa sì che il browser del client si connetta al Beef c&c
6. Landing now
12
clientTorBundle
3
4
TOR
5
62
3
1
TOR USER C&C
beefed
Beef C&C
TOR C&C
TOR C&C
TOR C&C
TOR C&C
TOR C&C
STRUMENTI PER L’ACCESSO ALLA RETE TOR
TOR BROWSER BUNDLE
Il Tor Browser può essere utilizzato su:
Windows
Mac
Linux
Una volta scaricato dal sito può essere eseguito:
Da computer
Da Pen Drive/Hard disk esterno
FORENSIC ANALYSIS OF THE TOR BROWSER BUNDLE
Una interessante ricerca del 2013 è già disponibile (Runa Sandvik)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux,
and Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
La nostra ricerca è mirata a confermare i risultati già raggiunti e individuare nuovi elementi di interesse
TOR BROWSER BUNDLE
CARTELLA TOR BROWSER
Le cartelle più interessanti sono:
\Data\Tor \Data\Browser
CARTELLA \DATA\TOR
State: contiene la data di ultima esecuzione
Torrc: contiene il percorso da cui è stato eseguito TOR comprensivo della lettera di unità
CARTELLA \DATA\BROWSER
Contiene la tradizionale cartella del profilo di Firefox, ma senza tracce di utilizzo (cronologia, cache, ecc.)
I file più interessanti sono Compatibility.ini e Extension.ini che contengono nuovamente il path di esecuzione dell’applicazione
BOOKMARKS
L’unica informazione presente sono eventuali bookmarks salvati dall’utente (file Places.sqlite)
ANALISI DEL SISTEMA OPERATIVO
Informazioni sull’utilizzo di TOR si riscontrano in:
Prefetch file TORBROWSERINSTALL-<VERSION>-<PATH-HASH>.pf
Prefetch file TOR.EXE-<PATH-HASH>.pf
Prefetch file START TOR BROWSER.EXE-<PATH-HASH>.pf
NTUSER.DAT registry hive User Assist key
BookCKCL.etl e Windows Search Database
Pagefile
FILE DI PREFETCH
Possiamo identificare:
Data di installazione
Data di prima esecuzione
Data di ultima esecuzione
Numero di esecuzioni
USER ASSIST
Possiamo recuperare:
Data di ultima esecuzione
Numero di esecuzioni
Percorso di esecuzione
Analizzando i diversi file NTUSER.DAT presenti nelle VSS (Volume Shadow Copies) possiamoverificare il numero di esecuzioninel tempo
BOOKCKCL.ETL E WINDOWS SEARCH DATABASE
Se l’utente ha rimosso le tracce del sistema operativo in modo sicuro possiamo ancora recuperare qualche informazione…
Dalla presenza dei nomi dei file di Prefetch possiamo almeno dire che Tor Browser è stato utilizzato su quel computer
PAGEFILE.SYS
Area del hard disk riservata e utilizzata come estensione dellamemoria RAM
Attivato di default in Windows
Viene creato dal sistema un file grande quanto la memoria RAM disponibile
PAGEFILE.SYS
Qui possiamo trovare informazioni relative aisiti web visitati!
E’ necessario utilizzare la keywordHTTP-memory-only-PB
ANALISI DEL PAGEFILE – BULK EXTRACTOR
HTTP-MEMORY-ONLY-PB
Tor Browser utilizza la funzionalità di Private Browsing di Mozilla Firefox
HTTP-MEMORY-ONLY-PB è la funzione utilizzata da Mozilla Firefox per la gestione dei file di cache in modalità Private Browsing e che si occupa di non salvare i file su disco ma tenerli in RAM
Tipicamente la versione più recente di Tor Browser è antecedente allaversione più recente di Firefox
Per distinguere quindi se l’attività di navigazione è stata fatta con Firefox o con Tor Browser:
Verifico se Firefox è installato nel sistema
Se è installato, verifico la versione
ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER
ANALISI DEI DUMP DI MEMORIA
Se ho a disposizione un DUMP di memoria posso usare software come Volatility o Rekall
Pslist
Psscan
Netscan
Procmemdump
Oppure fare una ricerca per parola chiave
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
DUMP DI MEMORIA – TOR AVVIATO - PSLIST
DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS
DUMP DI MEMORIA – TOR CHIUSO - PSLIST
DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS
HIBERFIL.SYS
Il file hiberfil.sys è il file di ibernazione di Windows
Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»
L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»
Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)
Posso analizzarlo utilizzando
Volatility (pslist, psscan, connections, ecc.)
Rekall
Ricerca per keyword
METODOLOGIA DI ANALISI
• Data di installazione
• Data di prima esecuzione
• Data di ultima esecuzione
• Numero di esecuzioni
Prefetch files
• Percorso di esecuzione
• Data di ultima esecuzione
• Numero di esecuzioni
• Analisi temporale del numero di esecuzioni in un periodo temporale (VSS)
NTUSER\UserAssist key
• BookCKCL.etl
• Thumbnail Cache
• USRCLASS.DAT registry
• Windows Search Database
Altri possibili artifacts
• HTTP-memory-only-PB
• Torproject
• Tor
• Torrc
• Geoip
• Torbutton
• Tor-launcher
Pagefile.sys (keywords search)
• Convertire a memory dump
• Analizzare utilizzando
• Volatility
• Rekall
• Keywords search (vedi Pagefile.sys)
Hiberfil.sys
TAILS
ICEWEASELS
TAILS - ANALISI DELLE TRACCE
E’ un sistema live Lavora direttamente in RAM
Nessuna traccia su hard disk!
Unica possibilità: acquisire la RAM mentre il computer è ancora acceso
Recupero unicamente le informazioni della esecuzione attuale
PROSSIME ATTIVITA’ DI RICERCA
E’ possibile individuare riferimenti temporali?
Cosa succede in altri ambienti operativi?
Mac OS X
Linux
Android
Test con altri strumenti opensource
Page brute
Rekall
PAGE BRUTE
REKALL E PAGEFILE
TOR - RIFERIMENTI
Tor Projecthttps://www.torproject.org
Tor2Webhttps://www.onion.to/http://tor2web.org/
HideMyAsshttp://www.hidemyass.com/
The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf
Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
DFA – DIGITAL FORENSICS ALUMNI
Digital ForensicsAlumni (DFA)
DFA nasce nel 2009 da una
iniziativa di ex corsisti del Corso di Perfezionamento in "Computer
Forensics ed investigazioni digitali"
dell'Università degli Studi di Milano.
La multidisciplinarietà dei suoi
componenti (giuristi, tecnici, investigatori, ecc) ha permesso di
creare una realtà di condivisione di
esperienze e idee.
• eventi di aggiornamento
formativo e di
approfondimento gratuiti
ed aperti al pubblico;
• servizio di newsletter
mensile sulle ultime novità
della Digital Forensics, per
rimanere aggiornato su
nuove release di software e
tecniche di analisi, review
di nuovi paper pubblicati,
aggiornamenti dalle più
importanti conferenze
internazionali, contributi
giuridici, dottrina sul tema
ed altro ancora..
www.perfezionisti.it
Q&A?
Mattia Epifani
Digital Forensics Analyst
DFA – Digital Forensics Alumni Association
CEO @ REALITY NET – System Solutions
GCFA, GMOB, GREM
CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail mattia.epifani@realitynet.it
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani
Blog http://blog.digital-forensics.it
http://mattiaep.blogspot.it