Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di Cyber-Intelligence: dall’underground alle darknet

Darknet e Cyber-Intelligence

Progettazione e realizzazione di un ambiente di Cyber-Intelligence:

dall’underground alle darknet

Relatore:Marco CREMONINI

Tesi di laurea di:Lino Antonio BUONO

Problema iniziale

TOR viene sempre più usato dai cyber-criminali

IP sorgente di attività illecite online nei log diviene informazione inutile

Maggiore senso di sicurezza nei cyber-criminali provoca

maggiori atti di cyber-crime

maggiori relazioni tra cyber-criminali

Ne consegue:

Necessità di nuovi strumenti per effettuare Cyber-Intelligence che siano efficaci nonostante l’uso di TOR

Soluzione Creazione dell’IntercepTOR, cioè di

un ambiente semi-automatico atto alla deanonimizzazione di utenti TOR, tramite l’analisi e conseguente intercettazione ed eventuale trojanizzazione del traffico proveniente dalla darknet TOR.

Componenti fondamentali dell’IntercepTOR:

una VM ospitante un exit-node TOR

una VM per analisi, intercettazione e trojanizzazione del traffico in uscita dall’exit-node

una VPS connessa tramite VPN Point-to-Point per

proteggere (l’identità del) l’IntercepTOR dai cyber-criminali

ottimizzare la quantità di traffico utile sfruttando la localizzazione geografica dell’exit-node

IntercepTOR

Tecniche di deanonimizzazione Considerazione

Necessario essere il più stealth possibile, quindi:

applicare ad ogni caso la tecnica meno invasiva che permetta di raggiungere l’obiettivo

Tecniche di deanonimizzazione ideate, ordinate per grado di invasività:

Passiva: Exit-node monitoring (dumb users)

Parzialmente Attiva: Exit-node monitoring + MiTM & SSLStrip Attack

Attiva: HTTP Response Trojanizer

Deanonimizzazione passiva

Considerazioni:

Traffico in uscita da exit-node è in chiaro

Confusione degli utenti tra concetti di anonimato e sicurezza

Risultato:

Utenti usano servizi autenticati tramite TOR senza utilizzare cifratura end-to-end (e.g. accesso a webmail usando protocollo HTTP)

Credenziali di accesso visibili in clear-text all’exit-node owner

Informazioni reperibili dal servizio utilizzato e da eventuale profilo personale

Deanonimizzazione parzialmente attiva

Scenario: Not-So-Dumb user

Utilizzo HTTPS per servizi autenticati sul web

Credenziali (nonchè token di sessione, ecc..) cifrati

Soluzione:

Attacchi automatici contro HTTPS

SSLStrip Attack (stealth)

MiTM Attack (visibile, utilizzato come piano B)

Deanonimizzazione attiva Scenario: servizi non autenticati

Nessuna speranza che l’utente riveli la sua identità o la sua localizzazione

Soluzione:

Trojanizzare le risposte HTTP per sfruttare una delle seguenti tecniche:

Out-of-Band HTTP request (i.e. GET/POST request via script Flash o Java)

Out-of-Band ICMP request(i.e. ICMP request via script Java oppure via client-side exploit)

Full system pownage(i.e. client-side exploit)

IntercepTOR weaponizing (NSA Surveillance?)

Massimizzare numero di exit-node gestiti

Massimizzare performance del server e banda dei nodi: l’algoritmo di routing di TOR predilige nodi veloci

(D)DoS degli altri nodi: ridurre le prestazioni degli altri nodi rende preferibili i nostri

Posizionamento strategico dei nodi: TOR predilige exit-node vicini geograficamente alle risorse web richieste

Path disruption: se TOR ci sceglie come nodi intermedi, interrompiamo la connessione

Compromissione di altri nodi

Set-up e trojanizzazione di entry-node: possedendo entry-node ed exit-node nella stessa chain, abbiamo associazione IP sorgente reale / Destinazione

Considerazioni:

necessità di cyber-criminali di comunicare sia tra loro (e.g. sharing di carte di credito) che con il resto del mondo (e.g. rivendicazione di azione di hacktivismo)

Utile quindi:

l’individuazione di fonti sul visible web da cui attingere informazioni sui target e monitoring costante delle stesse

Fonti sul visible web da monitorare individuate:

Pastebin (e siti similari)

IRC

Twitter

Enhancement: Strumenti di supporto

Pastebin Motivazioni

Usato dagli hacktivist per pubblicizzare e rivendicare azioni dimostrative

Usato dai cyber-criminal per pubblicizzare carte di credito (e credenziali di accesso per e-banking, ecc) rubate da vendere

Soluzione

Sviluppo di un software in Python che

interroga ininterrottamente la sezione “/archive” alla ricerca di nuovi pastes

verifica tramite regex contenuti ritenuti interessanti

invia link e copia dei pastes interessanti via email

IRC channel

Motivazioni

Usato da detentori di botnet

Usato per sharing di carte di credito rubate

Soluzione

Creazione di un IRC-Bot con

logging automatico della chat pubblica

possibilità di monitoring simultaneo multi-canale

riconoscimento tramite regex di contenuti interessanti e storage degli stessi su DB + web application di gestione

Twitter

Motivazioni

Offre qualsiasi tipo di notizia in tempo reale

Soluzione

Set-up del software gratuito Tweetdeck con viste ad-hoc

Unificando questi progetti...

Risultati ottenuti

Periodo di riferimento:

Da Settembre 2013 a Novembre 2013 = 3 mesi circa

Alcuni numeri...

Circa 9 GB di traffico TOR analizzato al giorno

Circa 3 milioni di pastes analizzati in totale

Circa 50000 carte di credito univoche

Circa 9000 password

Circa 300 attacchi di vario tipo a web application (SQL Injection, XSS, Bruteforce, ecc..)