TorPCAP:Tor网络取证分析技术
发往Tor网络的未加密网络流量,会通过运行Tor客户端计算机(如Tor浏览器)上的localhost TCP sockets来传送流量。在本文中,我将向大家展示如何将具有localhost流量的PCAP文件,加载到 NetworkMiner 中并可视化匿名的Tor浏览。我们称这种技术为TorPCAP。
Tor是一个安全的平台,使用户能够匿名浏览网页。 Tor项目网站上对该工具描述为:
“Tor是一款免费的软件并且是一个开放式的网络,可帮助你防止流量分析”
你也可以使用Tor在Dark Web上托管 匿名的“洋葱服务”:
“Tor使用户可以在提供各种服务时隐藏他们的位置,例如web发布或即时消息服务器。使用汇合点(rendezvous point),其他Tor用户可以连接到这些洋葱服务(以前称之为隐藏服务),且互相都不知道对方的网络身份。“
在加密之前捕获Tor流量
Tor会在localhost(127.0.0.1)的TCP 9150 端口上创建一个SOCKS代理侦听。 Tor浏览器会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量,实际上我们可以创建一个固定的取证路径,追踪PC发送到Tor网络和从Tor网络发送的所有流量。
在macos或linux中,你可以使用tcpdump在运行 Tails OS 或 Tor 浏览器的PC上捕获本地主机流量。如果你是在Windows中运行Tor浏览器,那么我们建议你使用 RawCap来嗅探本地主机流量(RawCap是一个不需要WinPcap或NDIS驱动就能工作的网络嗅探工具)。
为了理解捕获的流量,你需要有一个能够解析SOCKS协议的工具( RFC 1928)。NetworkMiner中包含了一个 SOCKS解析器,可用于提取和重组来自Tor网络的数据。
Demo:分析 TorPCAP 网络流量
假设有一个名为“Eldon”的用户,在2018年11月30日使用Tor进入了暗网并浏览了部分页面。Eldon在Windows PC上使用Tor浏览器,而 RawCap则用于从Eldon的计算机捕获本地主机网络流量。Eldon PC捕获数据包的PCAP文件可以 在此处获取到。
File : rawcap-localhost-tor.pcap
Size : 1.47 MB
SHA256 : 9134FA542B388498C2A58A2E1424FCD4AF466CE7117DBE9AAFD0A031CC8209B8
NetworkMiner中的“Files”选项卡为我们列出了已分析PCAP文件重组的所有文件。从该文件列表我们可以看到Eldon使用“not Evil”这个搜索引擎(hss3uro2hsxfogfq[.]onion)搜索了关键字“buy fake passports(购买假护照)”。
来自not Evil的搜索结果页面已被NetworkMiner重组并保存在了名为“index.php.CB66877E.html”的文件中。我们可以在浏览器中打开该HTML文档,查看Eldon获取的搜索结果(打开该html文档不需要Internet连接)。
NetworkMiner Professional中的“Browsers”选项卡显示,Eldon在其搜索结果(购买假护照[...])中点击了第二条结果,并引导他访问了“fakeimz[...].onion”这个网站。
接着Eldon列出了可用的护照(详见1837帧重组文件“novelty_fake_id_samples.shtml”)并选择了英国护照(“pp-uk-open-big.jpg”)。
随着Eldon的进一步操作,他得到了该网站提供的假护照的价目表(“novelty_fake_id_pricing.shtml”),但我们并没有看到任何证据表明他实际完成了假英国护照的购买。
如果我们回到NetworkMiner中的Images选项卡再向下滚动,我们会看到一张枪的图片。让我们看看它来自哪里。
事实证明,Eldon还搜索了“buy guns for bitcoin UK”。你可以在“Parameters”选项卡中使用参数名“q”列出所有搜索引擎查询关键字。该方法适用于“not Evil”以及大多数clearnet搜索引擎,如Google,Bing,Yahoo!和DuckDuckGo。
Browsers选项卡显示Eldon点击了“UK Guns and Ammo Store”(tuu66[...].onion)。
该网站也已被NetworkMiner被动重组,并且你可以在浏览器中离线打开它(详见“index[2].html”)。
NetworkMiner中的Credentials选项卡显示了Eldon用于登录网站的用户名和密码:
登陆该账户后可以看到,有两件商品被Eldon加入到了购物车中(详见“cart.php[1].html”),但点击“Continue to Checkout(继续结帐)”后会收到一条消息显示“Not enough balance for this order(该订单余额不足)”。看起来Eldon在暗网武器商店的帐户中,并没有充值任何的比特币(详见“wallet.php.html”)。
Web Trackers 和 Tor
使用网络跟踪(如Google Analytics)等服务来跟踪访问洋葱服务的用户被认为 是非常不好的做法。然而,我们注意到假护照网站使用了Google Analytics脚本,跟踪ID为“UA-19359933-1”。
通过谷歌搜索这个ID,我们找到了一个非常相似的网站:hxxp:// www.buypassportsfake[.]cc
*参考来源: netresec,FB小编secist编译,转载请注明来自FreeBuf.COM