Dark Web & Tor Browser
Panduan dan referensi DFIR untuk melakukan forensic investigation terhadap aktivitas di dark web yang diakses lewat Tor browser dari memahami arsitektur Tor, mengidentifikasi jejak (traces) di endpoint, hingga menganalisis memory dump dan storage.
ABSTRACTWeb terbagi menjadi tiga lapisan: surface web, deep web, dan dark web. Surface web dan deep web sebagian besar dipakai untuk keperluan yang legitimate, tapi dark web justru banyak dimanfaatkan cybercriminal untuk aktivitas nefarious/antisocial. Akses ke dark web butuh Tor browser, yang memberi anonymity tinggi lewat mekanisme kompleks dan justru mekanisme inilah yang memungkinkan pelaku menyembunyikan identitas.
Learning Objectives di akhir referensi ini kamu akan mampu:
- Memahami dark web dan dark web forensics
- Menentukan cara mengidentifikasi jejak (traces) Tor browser selama investigasi
- Melakukan Tor browser forensics
1. Understanding the Dark Web
Ditinjau dari sisi accessibility (seberapa mudah kontennya diakses), web dibagi menjadi tiga lapisan berikut:
| Layer | Karakteristik | Contoh / Isi |
|---|---|---|
| Surface Web (~4% dari web) |
Lapisan paling atas. Bisa diakses dan di-index oleh search engine (Google, Yahoo, Bing). | Wikipedia, eBay, Facebook, YouTube. Ini yang kita lihat sehari-hari ternyata cuma bagian kecilnya. |
| Deep Web | Tidak di-index search engine. Hanya bisa diakses pengguna dengan authorization. | Data militer, confidential data organisasi, legal dossiers, financial/medical records, arsip pemerintah, info subscription. |
| Dark Web | Lapisan terdalam. Tidak di-index, memberi complete anonymity lewat encryption. Butuh browser khusus (Tor). | Dipakai untuk aktivitas unlawful: drug trafficking, kampanye antisosial, transaksi ilegal via cryptocurrency. |
2. Tor Relays & Onion Routing
Tor network punya tiga relay (disebut juga node / router) yang membuat traffic lewat mereka. Keberadaan relay inilah yang membuat Tor network lebih cepat, aman, dan stabil.
Titik masuk (entry point) ke Tor network. Saat client terhubung lewat relay ini, IP address client bisa terbaca di titik ini. Entry node lalu meneruskan data ke middle node.
Mentransmisikan data dalam format terenkripsi. Menerima data dari entry relay dan meneruskannya ke exit relay, berperan sebagai second hop. Fungsinya menjaga agar entry dan exit tidak pernah "saling kenal" secara langsung.
Relay terakhir dalam Tor circuit. Menerima data dari middle relay lalu mengirimkannya ke server tujuan. IP address exit relay terlihat langsung oleh destination. Karena itu, kalau ada malicious traffic, exit relay-lah yang justru dicurigai sebagai pelaku sebab ia dipersepsikan sebagai origin dari traffic tersebut.
Konsekuensinya, exit relay menghadapi paparan hukum paling besar: legal issues, take-down notices, hingga complaints meskipun ia bukan sumber asli malicious traffic itu.
Working of Tor Browser (Onion Routing)
Tor browser dibangun di atas Mozilla Firefox. Cara kerjanya berbasis teknik "onion routing": user data dienkripsi dengan multiple layers seperti lapisan bawang, lalu dikirim melewati relay-relay yang berbeda.
- Saat data multi-layer ini melewati tiap relay, satu layer encryption dibuka secara berurutan.
- Di relay terakhir (exit relay), layer terakhir dilepas, lalu data sampai ke destination server.
- Destination server memandang exit relay sebagai origin data inilah yang membuat sangat sulit mengidentifikasi origin sebenarnya lewat sistem surveillance apa pun.
Tor browser memberi akses ke website .onion di dark web. Protokol hidden service milik Tor memungkinkan hosting website secara anonim, dan website ini hanya bisa diakses pengguna di dalam Tor network.
# Working structure of Tor network
User/Origin → Entry Relay → Middle Relay → Exit Relay → Destination Server
[============ encrypted ============] [== unencrypted ==]
3. Tor Bridge Node
Relay node Tor tersedia publik di directory list, tapi bridge node berbeda: ia tidak dipublikasikan di public directory Tor node.
- Karena beberapa entry/exit node terdaftar publik, node itu bisa diblokir organisasi/pemerintah yang ingin melarang Tor.
- Di banyak negara otoriter, pemerintah, ISP, dan korporat memblokir Tor network. Dalam kondisi terbatas seperti ini, bridge node membantu menyiasati (circumvent) pembatasan.
How Bridge Nodes Help Circumvent Restrictions
- Bridge node berperan sebagai proxy dan tidak semuanya terdaftar publik; beberapa sengaja disembunyikan (concealed/hidden).
- Karena itu ISP/organisasi/pemerintah tidak bisa mendeteksi IP-nya atau memblokirnya.
- Bahkan kalau sebagian bridge node terdeteksi dan disensor, pengguna cukup berpindah ke bridge node lain.
- Pengguna mengirim traffic ke bridge node → diteruskan ke guard node pilihan pengguna. Komunikasi berjalan normal, hanya ada satu node transmisi tambahan (bridge node).
# Functionality of Tor Bridge Node (bridge disisipkan di depan entry relay)
User/Origin → Bridge Node → Entry Relay → Middle Relay → Exit Relay → Destination Server
4. Dark Web Forensics & Tantangannya
Dark web forensics merujuk pada investigasi aktivitas unlawful dan antisocial di dark web oleh malicious user misalnya drug trafficking, credit card/financial fraud, dan terrorism.
Dark web diakses lewat Tor browser yang menjamin keamanan dan anonymity data pengguna dan justru inilah yang membuat investigasinya sangat menantang. Untuk menginvestigasi cybercrime lewat Tor, investigator sebaiknya mengumpulkan RAM dumps dari mesin suspect lalu menganalisisnya untuk menentukan aktivitas malicious (website dikunjungi, email diakses, program di-download).
Dark Web Forensics Challenges
- Pelaku bisa menyembunyikan identitas → sulit dilacak selama investigasi.
- Lokasi fisik pelaku sulit ditrace karena network yang terenkripsi.
- Tor meninggalkan artifact yang terbatas setelah di-uninstall.
- Aktivitas terjadi lintas yurisdiksi → muncul isu legal jurisdiction.
- Transaksi cryptocurrency pakai blockchain → tidak langsung merekam data pribadi pembayar/cybercriminal.
- Kurangnya training pada specialized tools jadi kendala dalam darknet analysis & evidence extraction.
- Aplikasi dark web dengan teknologi terbaru sulit dideteksi oleh traditional tools.
- Digital evidence terbatas → sulit memperoleh warrant untuk search & seizure.
- Chat room menghasilkan chat logs volume besar → analisis memakan waktu.
- Sifat dark web yang evolving menuntut investigator terus belajar tren & tools baru.
5. Identifying Traces of Tor Browser
Meski Tor memberi anonymity, artifact aktivitasnya tetap tersimpan di system RAM selama sistem menyala. Di Windows, jejaknya juga terekam di Windows Registry dan prefetch folder. Strategi investigasi bergeser dari "melacak di jaringan" ke "menggali artifact di endpoint". Berikut lima metode identifikasinya.
ACTIVE CONNECTIONS
Saat Tor terinstall di Windows, ia memakai port 9150/9151 untuk koneksi lewat Tor node. Cek koneksi aktif dengan:
C:\Windows\system32> netstat -ano
Yang diperhatikan adalah state koneksi pada 127.0.0.1:9150 dan 127.0.0.1:9151:
- LISTENING / ESTABLISHED → Tor browser sedang terbuka/aktif.
- TIME_WAIT → Tor browser baru saja ditutup (socket masih ditahan sementara oleh OS).
EXECUTION PATH
Aktivitas user terekam di registry. Path eksekusi Tor bisa ditemukan di:
HKEY_USERS\<SID>\SOFTWARE\Mozilla\Firefox\LauncherKarena Tor berbasis Firefox, artifact-nya muncul di cabang Mozilla\Firefox. Value di key Launcher menyimpan path lengkap tempat firefox.exe milik Tor dijalankan (mis. C:\Users\Admin\Desktop\Tor Browser\Browser\firefox.exe).
Installer, DllPrefetchEnabled, TaskBarIDs) bisa memperkuat temuan.TIMESTAMP
File "State" di dalam folder Tor mencatat waktu eksekusi terakhir. Lokasinya:
\Tor Browser\Browser\TorBrowser\Data\Tor\Isinya memuat baris seperti :
# Tor state file last generated on 2024-01-08 10:11:05 local time # Other times below are in UTC # You "do not" need to edit this file.
last generated ditulis dalam local time, sedangkan nilai lain di file itu dalam UTC. Detail ini wajib dicatat supaya tidak salah saat menyusun timeline. Jangan edit file-nya.SURVIVES UNINSTALL
Saat Tor di-uninstall atau terinstall di lokasi tak biasa, prefetch membantu menentukan apakah Tor pernah dipakai / di mana ia terinstall. Lokasinya:
C:\WINDOWS\PrefetchDengan tool WinPrefetchView investigator memperoleh metadata:
- Created / Last Run timestamps (mis.
Last Run Time: 1/8/2024 2:58:47 AM, 2:05:21 AM) - Run Counter → jumlah eksekusi (mis.
2) - Process Path → execution directory (mis.
C:\Users\Admin\Desktop\TOR BROWSER\Browser\...) - Filename & File Size
TOR.EXE-70755039.pf) masih membuktikan Tor pernah dijalankan, berapa kali, kapan terakhir, dan dari folder mana. Run Counter >1 menunjukkan penggunaan berulang.BROWSING HISTORY
Tor menyimpan bookmarked sites, browsing history, dan visited websites dalam file SQLite places.sqlite di:
File ini berisi table seperti moz_places, moz_historyvisits, moz_bookmarks, dll. Pakai tool seperti SQLite Database Recovery . Table moz_places menyimpan visited websites beserta ID & URL (mis. www.torproject.org, blog.torproject.org, bridges.torproject.org).
6. Perform Tor Browser Forensics
Metode dan hasil forensics berbeda tergantung status Tor browser di mesin suspect. Lima skenario yang disajikan:
- Memory dump → email artifacts saat browser open
- Storage device → email attachments saat browser open
- Memory dump → email artifacts saat browser closed
- Storage device → email attachments saat browser closed
- Kemungkinan analisis saat browser uninstalled
Hierarki Bukti Berdasarkan Status Browser
| Status Browser | Jumlah Artifact | Implikasi Operasional |
|---|---|---|
| Opened | Paling banyak | Prioritas #1: jangan tutup browser-nya, segera live RAM capture. |
| Closed | Sebagian besar masih ada | Umumnya masih memuat sebagian besar info seperti saat open (dengan beberapa pengecualian). |
| Uninstalled | Paling sedikit | RAM praktis kosong; andalkan prefetch sebagai fallback. |
Memory Acquisition Collecting Memory Dumps
RAM berisi informasi volatile dari proses/aplikasi yang berjalan. Kumpulkan memory dump untuk memulai examination. Tool:
- Belkasoft LIVE RAM Capturer (
https://belkasoft.com) klik Capture!, output folder ditentukan lebih dulu. - FTK® Imager (
https://www.exterro.com) fitur Capture Memory, simpan ke file.mem
Dump ini tidak hanya berisi artifact browser, tapi semua aktivitas di mesin.
Memory Dump Analysis Bulk Extractor
Dump diperiksa di forensic workstation. Bulk Extractor (https://digitalcorpora.org) mengekstrak structured information seperti email addresses, credit card numbers, URLs, JPEGs, dan JSON snippets. BEViewer adalah UI untuk menelusuri hasilnya (bookmarking, exporting, menjalankan scan).
email.txt, domain.txt, url.txt, json.txt).
7. Skenario A Browser Open
7.1 Memory Dump: Examine Email Artifacts (Open)
Menganalisis dump yang diambil saat browser terbuka untuk merekonstruksi aktivitas email. Fokus artifact: domain.txt, email.txt, url.txt, url_facebook-id.txt, histogram files, dan json.txt (sumber utama konten email). Alurnya bergerak dari umum → spesifik.
Cari domain spesifik email service provider di domain.txt. terlihat crl.microsoft.com tercatat di dump.
Karena domain terkait Gmail (mail.google.com) ditemukan, cari Gmail ID di email.txt terlihat Gmail ID mencurigakan ****ev@gmail.com.
Filter json.txt untuk entri yang memuat email ID tersebut. email yang di-compose berhasil diperoleh lengkap dengan attachment. Detail yang didapat:
- Sender's email ID
- Receiver's email ID
- Subject
- Body
- File attachment
Dump juga memuat email yang dibuka saat Tor terakhir diakses. Polanya: subject → body → sender/receiver ID → uploaded attachment. sebuah email yang dibuka ditemukan dengan attachment. Detail: Subject, Body, Sender ID, Receiver ID, File attachment.
crl.microsoft.com, tapi Step 2 langsung merujuk ke Gmail (mail.google.com) seolah domain Gmail sudah ditemukan. Ini kemungkinan lompatan/inkonsistensi kecil di materi asli (screenshot pada gambar menyorot domain Microsoft). Dipertahankan apa adanya, tapi di-flag supaya tidak bingung saat dipakai referensi.
7.2 Storage: Acquire Email Attachments (Open)
RAM dump membuktikan email dengan attachment memang ada, tapi isi file attachment tersimpan di disk. Storage medium bervariasi:
- Physical machine → akuisisi bit-by-bit copy dari local storage.
- Virtual machine → periksa virtual disk (VMDK, VHDX, OVF).
Skenario ini memeriksa file VMDK (diakuisisi saat browser terbuka) memakai Autopsy.
Salin VMDK ke workstation, buka di Autopsy. Analisis dump mengungkap iamlegend.zip di-upload dan Secret_Credentials.txt di-download. Cari iamlegend.zip di folder Archives via:
Lalu klik kanan file → Extract File(s) untuk mengekstraknya, atau lihat isinya langsung di Autopsy.
Cari Secret_Credentials.txt di folder Plain Text via Views → File Types → Documents Alternatif: cari di folder Web Downloads via Results → Extracted Content.
8. Skenario B Browser Closed
8.1 Memory Dump: Examine Email Artifacts (Closed)
Langkahnya identik dengan kasus open dan itu memang poinnya: menunjukkan seberapa banyak bukti yang masih bertahan meski browser ditutup.
- Step 1 Domain: di
domain.txtterlihatmail.google.com - Step 2 Email IDs: di
email.txtterlihat Gmail ID mencurigakan****ews@gmail.com - Step 3 Composed Emails: di
json.txt, email composed berhasil diperoleh dengan attachment. Detail: Sender ID, Receiver ID, Subject, File attachment.
Step 4 Accessed/Opened Emails: artifact email yang diakses mungkin ada, mungkin tidak pada dump saat browser tertutup. Hasilnya bervariasi, tapi setidaknya partial artifacts bisa dipulihkan.
8.2 Storage: Acquire Email Attachments (Closed)
Salin VMDK ke workstation, buka di Autopsy. Cari iamlegend.zip di folder Archives via Views → File Types → By Extension lalu extract atau baca langsung.
iamlegend.zip) tidak ikut hilang saat browser ditutup beda dengan artifact volatile di RAM. Jadi walau body email lenyap dari dump, attachment fisiknya masih utuh di VMDK.Data email yang diakses/dibuka tidak terekam di memory dump (kondisi tertutup). Namun konten yang di-download (termasuk attachment) tetap bisa diambil dari folder Web Downloads via Results → Extracted Content
Secret_Credentials.txt yang di-download tetap ditemukan lewat Web Downloads di disk. Inilah alasan RAM dan storage saling melengkapi jangan bergantung pada satu artifact saja.9. Skenario C Browser Uninstalled
Ketika dump dikumpulkan dari mesin yang Tor-nya sudah di-install lalu di-uninstall, dump tersebut tidak memuat catatan apa pun tentang event/aktivitas Tor. Saat diperiksa dengan Bulk Extractor, investigator tidak bisa mengambil artifact terkait Tor. Dalam kasus ini, andalkan analisis prefetch files.
places.sqlite) praktis kosong. Yang tersisa adalah artifact yang tidak ikut terhapus saat uninstall dan prefetch (C:\WINDOWS\Prefetch) adalah andalan terakhir karena tetap menyimpan bukti Tor pernah dijalankan, berapa kali, kapan, dan dari folder mana.10. Ringkasan Referensi (Quick Reference)
Tabel keputusan: status browser × sumber artifact × apa yang bisa didapat.
| Sumber Artifact | Browser Open | Browser Closed | Uninstalled |
|---|---|---|---|
| RAM Dump (Bulk Extractor) |
Email composed (+body), accessed, URL, domain terlengkap | Composed tanpa body; accessed = partial/varies | Kosong tidak ada artifact Tor |
| Storage / Disk (Autopsy, VMDK) |
Uploaded & downloaded files utuh | Uploaded & downloaded files tetap utuh | File di disk hilang jika folder dihapus |
| Prefetch | Bukti eksekusi | Bukti eksekusi | Fallback utama bukti eksekusi tetap ada |
| Registry / State | Path & timestamp eksekusi | Path & timestamp eksekusi | Hilang saat uninstall |
Tools Cheat Sheet
| Tujuan | Tool | Source |
|---|---|---|
| Cek koneksi aktif Tor | netstat -ano | Built-in Windows |
| Analisis prefetch | WinPrefetchView | NirSoft |
| Baca places.sqlite | SQLite Database Recovery | SysTools |
| Memory acquisition | Belkasoft LIVE RAM Capturer / FTK® Imager | belkasoft.com / exterro.com |
| Analisis memory dump | Bulk Extractor + BEViewer | digitalcorpora.org |
| Analisis storage / VMDK | Autopsy | Open source |
Module Summary
Referensi ini membahas fundamental dark web dan pentingnya dark web forensics, cara mengidentifikasi jejak Tor browser selama investigasi, serta cara melakukan Tor browser forensics secara mendetail lewat lima skenario status browser. Benang merahnya: Tor melindungi anonymity di level network, bukan endpoint sehingga investigasi bertumpu pada penggalian artifact lokal (RAM, storage, prefetch/registry) yang saling melengkapi sesuai kondisi browser saat akuisisi.
