DIFR : Dark Web & Tor Browser

Dark Web & Tor Browser

Panduan dan referensi DFIR untuk melakukan forensic investigation terhadap aktivitas di dark web yang diakses lewat Tor browser dari memahami arsitektur Tor, mengidentifikasi jejak (traces) di endpoint, hingga menganalisis memory dump dan storage.

ABSTRACT

Web terbagi menjadi tiga lapisan: surface web, deep web, dan dark web. Surface web dan deep web sebagian besar dipakai untuk keperluan yang legitimate, tapi dark web justru banyak dimanfaatkan cybercriminal untuk aktivitas nefarious/antisocial. Akses ke dark web butuh Tor browser, yang memberi anonymity tinggi lewat mekanisme kompleks dan justru mekanisme inilah yang memungkinkan pelaku menyembunyikan identitas.

Learning Objectives di akhir referensi ini kamu akan mampu:

  • Memahami dark web dan dark web forensics
  • Menentukan cara mengidentifikasi jejak (traces) Tor browser selama investigasi
  • Melakukan Tor browser forensics
Prinsip inti yang menjadi benang merah: Tor melindungi anonymity di level network, bukan di level endpoint. Karena itu seluruh strategi investigasi bergeser dari "melacak di jaringan" (hampir mustahil) ke "menggali artifact di mesin yang dipakai".

1. Understanding the Dark Web

Ditinjau dari sisi accessibility (seberapa mudah kontennya diakses), web dibagi menjadi tiga lapisan berikut:

Layer Karakteristik Contoh / Isi
Surface Web
(~4% dari web)
Lapisan paling atas. Bisa diakses dan di-index oleh search engine (Google, Yahoo, Bing). Wikipedia, eBay, Facebook, YouTube. Ini yang kita lihat sehari-hari ternyata cuma bagian kecilnya.
Deep Web Tidak di-index search engine. Hanya bisa diakses pengguna dengan authorization. Data militer, confidential data organisasi, legal dossiers, financial/medical records, arsip pemerintah, info subscription.
Dark Web Lapisan terdalam. Tidak di-index, memberi complete anonymity lewat encryption. Butuh browser khusus (Tor). Dipakai untuk aktivitas unlawful: drug trafficking, kampanye antisosial, transaksi ilegal via cryptocurrency.
Jangan tertukar: deep web ≠ dark web. Deep web = "yang tidak ter-index dan butuh otorisasi" (mis. dashboard internet banking atau email di balik login). Dark web = subset yang butuh browser khusus dan sengaja dirancang untuk anonymity. Ini pembedaan yang paling sering keliru.

2. Tor Relays & Onion Routing

Tor network punya tiga relay (disebut juga node / router) yang membuat traffic lewat mereka. Keberadaan relay inilah yang membuat Tor network lebih cepat, aman, dan stabil.

1 Entry / Guard Relay

Titik masuk (entry point) ke Tor network. Saat client terhubung lewat relay ini, IP address client bisa terbaca di titik ini. Entry node lalu meneruskan data ke middle node.

Kenapa penting untuk forensics: entry relay adalah satu-satunya titik di sirkuit yang "melihat" IP asli pengguna. Dari sudut pandang investigasi maupun serangan deanonymization, titik inilah yang jadi perhatian utama.
2 Middle Relay

Mentransmisikan data dalam format terenkripsi. Menerima data dari entry relay dan meneruskannya ke exit relay, berperan sebagai second hop. Fungsinya menjaga agar entry dan exit tidak pernah "saling kenal" secara langsung.

3 Exit Relay

Relay terakhir dalam Tor circuit. Menerima data dari middle relay lalu mengirimkannya ke server tujuan. IP address exit relay terlihat langsung oleh destination. Karena itu, kalau ada malicious traffic, exit relay-lah yang justru dicurigai sebagai pelaku sebab ia dipersepsikan sebagai origin dari traffic tersebut.

Konsekuensinya, exit relay menghadapi paparan hukum paling besar: legal issues, take-down notices, hingga complaints meskipun ia bukan sumber asli malicious traffic itu.

Note: Semua relay Tor network di atas terdaftar dalam public list of Tor relays.

Working of Tor Browser (Onion Routing)

Tor browser dibangun di atas Mozilla Firefox. Cara kerjanya berbasis teknik "onion routing": user data dienkripsi dengan multiple layers seperti lapisan bawang, lalu dikirim melewati relay-relay yang berbeda.

  • Saat data multi-layer ini melewati tiap relay, satu layer encryption dibuka secara berurutan.
  • Di relay terakhir (exit relay), layer terakhir dilepas, lalu data sampai ke destination server.
  • Destination server memandang exit relay sebagai origin data inilah yang membuat sangat sulit mengidentifikasi origin sebenarnya lewat sistem surveillance apa pun.

Tor browser memberi akses ke website .onion di dark web. Protokol hidden service milik Tor memungkinkan hosting website secara anonim, dan website ini hanya bisa diakses pengguna di dalam Tor network.

# Working structure of Tor network
User/Origin  →  Entry Relay  →  Middle Relay  →  Exit Relay  →  Destination Server
             [============ encrypted ============]        [== unencrypted ==]

3. Tor Bridge Node

Relay node Tor tersedia publik di directory list, tapi bridge node berbeda: ia tidak dipublikasikan di public directory Tor node.

  • Karena beberapa entry/exit node terdaftar publik, node itu bisa diblokir organisasi/pemerintah yang ingin melarang Tor.
  • Di banyak negara otoriter, pemerintah, ISP, dan korporat memblokir Tor network. Dalam kondisi terbatas seperti ini, bridge node membantu menyiasati (circumvent) pembatasan.

How Bridge Nodes Help Circumvent Restrictions

  • Bridge node berperan sebagai proxy dan tidak semuanya terdaftar publik; beberapa sengaja disembunyikan (concealed/hidden).
  • Karena itu ISP/organisasi/pemerintah tidak bisa mendeteksi IP-nya atau memblokirnya.
  • Bahkan kalau sebagian bridge node terdeteksi dan disensor, pengguna cukup berpindah ke bridge node lain.
  • Pengguna mengirim traffic ke bridge node → diteruskan ke guard node pilihan pengguna. Komunikasi berjalan normal, hanya ada satu node transmisi tambahan (bridge node).
# Functionality of Tor Bridge Node (bridge disisipkan di depan entry relay)
User/Origin → Bridge Node → Entry Relay → Middle Relay → Exit Relay → Destination Server

4. Dark Web Forensics & Tantangannya

Dark web forensics merujuk pada investigasi aktivitas unlawful dan antisocial di dark web oleh malicious user misalnya drug trafficking, credit card/financial fraud, dan terrorism.

Dark web diakses lewat Tor browser yang menjamin keamanan dan anonymity data pengguna dan justru inilah yang membuat investigasinya sangat menantang. Untuk menginvestigasi cybercrime lewat Tor, investigator sebaiknya mengumpulkan RAM dumps dari mesin suspect lalu menganalisisnya untuk menentukan aktivitas malicious (website dikunjungi, email diakses, program di-download).

Kenapa RAM dump jadi kunci: Tor browser dirancang meninggalkan sedikit sekali artifact di disk (banyak bersifat in-memory dan hilang saat browser ditutup). Jadi kalau mesin masih menyala, memory adalah tempat paling kaya bukti inilah alasan live acquisition sangat ditekankan.

Dark Web Forensics Challenges

  • Pelaku bisa menyembunyikan identitas → sulit dilacak selama investigasi.
  • Lokasi fisik pelaku sulit ditrace karena network yang terenkripsi.
  • Tor meninggalkan artifact yang terbatas setelah di-uninstall.
  • Aktivitas terjadi lintas yurisdiksi → muncul isu legal jurisdiction.
  • Transaksi cryptocurrency pakai blockchain → tidak langsung merekam data pribadi pembayar/cybercriminal.
  • Kurangnya training pada specialized tools jadi kendala dalam darknet analysis & evidence extraction.
  • Aplikasi dark web dengan teknologi terbaru sulit dideteksi oleh traditional tools.
  • Digital evidence terbatas → sulit memperoleh warrant untuk search & seizure.
  • Chat room menghasilkan chat logs volume besar → analisis memakan waktu.
  • Sifat dark web yang evolving menuntut investigator terus belajar tren & tools baru.

5. Identifying Traces of Tor Browser

Meski Tor memberi anonymity, artifact aktivitasnya tetap tersimpan di system RAM selama sistem menyala. Di Windows, jejaknya juga terekam di Windows Registry dan prefetch folder. Strategi investigasi bergeser dari "melacak di jaringan" ke "menggali artifact di endpoint". Berikut lima metode identifikasinya.

1 Command Prompt (netstat)

ACTIVE CONNECTIONS

Saat Tor terinstall di Windows, ia memakai port 9150/9151 untuk koneksi lewat Tor node. Cek koneksi aktif dengan:

C:\Windows\system32> netstat -ano

Yang diperhatikan adalah state koneksi pada 127.0.0.1:9150 dan 127.0.0.1:9151:

  • LISTENING / ESTABLISHED → Tor browser sedang terbuka/aktif.
  • TIME_WAIT → Tor browser baru saja ditutup (socket masih ditahan sementara oleh OS).
Kenapa state ini penting: LISTENING/ESTABLISHED = "pelaku sedang menjalankan Tor sekarang" (bukti live yang harus segera di-capture). TIME_WAIT = "Tor baru saja dijalankan & ditutup" masih bukti kuat, tapi window untuk RAM dump mulai menyempit. Kolom PID juga krusial karena mengaitkan koneksi ke proses spesifik.
2 Windows Registry

EXECUTION PATH

Aktivitas user terekam di registry. Path eksekusi Tor bisa ditemukan di:

HKEY_USERS\<SID>\SOFTWARE\Mozilla\Firefox\Launcher

Karena Tor berbasis Firefox, artifact-nya muncul di cabang Mozilla\Firefox. Value di key Launcher menyimpan path lengkap tempat firefox.exe milik Tor dijalankan (mis. C:\Users\Admin\Desktop\Tor Browser\Browser\firefox.exe).

Kenapa berharga: registry key ini mengungkap lokasi instalasi/eksekusi sangat berguna kalau Tor dijalankan dari lokasi non-default (Desktop, USB, folder tersembunyi). Key lain di cabang sama (Installer, DllPrefetchEnabled, TaskBarIDs) bisa memperkuat temuan.
3 State File (Last Execution Time)

TIMESTAMP

File "State" di dalam folder Tor mencatat waktu eksekusi terakhir. Lokasinya:

\Tor Browser\Browser\TorBrowser\Data\Tor\

Isinya memuat baris seperti :

# Tor state file last generated on 2024-01-08 10:11:05 local time
# Other times below are in UTC
# You "do not" need to edit this file.
Perhatikan zona waktu: baris last generated ditulis dalam local time, sedangkan nilai lain di file itu dalam UTC. Detail ini wajib dicatat supaya tidak salah saat menyusun timeline. Jangan edit file-nya.
4 Prefetch Files

SURVIVES UNINSTALL

Saat Tor di-uninstall atau terinstall di lokasi tak biasa, prefetch membantu menentukan apakah Tor pernah dipakai / di mana ia terinstall. Lokasinya:

C:\WINDOWS\Prefetch

Dengan tool WinPrefetchView investigator memperoleh metadata:

  • Created / Last Run timestamps (mis. Last Run Time: 1/8/2024 2:58:47 AM, 2:05:21 AM)
  • Run Counter → jumlah eksekusi (mis. 2)
  • Process Path → execution directory (mis. C:\Users\Admin\Desktop\TOR BROWSER\Browser\...)
  • Filename & File Size
Kenapa prefetch begitu berharga di kasus Tor: prefetch tetap tertinggal bahkan setelah Tor di-uninstall. Jadi ketika pelaku menghapus browser untuk anti-forensic, prefetch (mis. TOR.EXE-70755039.pf) masih membuktikan Tor pernah dijalankan, berapa kali, kapan terakhir, dan dari folder mana. Run Counter >1 menunjukkan penggunaan berulang.
5 places.sqlite File

BROWSING HISTORY

Tor menyimpan bookmarked sites, browsing history, dan visited websites dalam file SQLite places.sqlite di:

\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

File ini berisi table seperti moz_places, moz_historyvisits, moz_bookmarks, dll. Pakai tool seperti SQLite Database Recovery . Table moz_places menyimpan visited websites beserta ID & URL (mis. www.torproject.org, blog.torproject.org, bridges.torproject.org).

Kenapa krusial: ini artifact yang paling langsung menunjukkan apa yang dilakukan pelaku, bukan sekadar bahwa Tor pernah dipakai. Catatan: file ini hanya ada selama profile Tor masih di disk kalau folder Tor dihapus, history ini ikut hilang, sehingga investigator kembali ke RAM dump atau prefetch.

6. Perform Tor Browser Forensics

Metode dan hasil forensics berbeda tergantung status Tor browser di mesin suspect. Lima skenario yang disajikan:

  1. Memory dump → email artifacts saat browser open
  2. Storage device → email attachments saat browser open
  3. Memory dump → email artifacts saat browser closed
  4. Storage device → email attachments saat browser closed
  5. Kemungkinan analisis saat browser uninstalled

Hierarki Bukti Berdasarkan Status Browser

Status Browser Jumlah Artifact Implikasi Operasional
Opened Paling banyak Prioritas #1: jangan tutup browser-nya, segera live RAM capture.
Closed Sebagian besar masih ada Umumnya masih memuat sebagian besar info seperti saat open (dengan beberapa pengecualian).
Uninstalled Paling sedikit RAM praktis kosong; andalkan prefetch sebagai fallback.
Keputusan di TKP: kalau menemukan mesin dengan Tor masih terbuka, jangan tutup begitu ditutup (apalagi di-uninstall), sebagian bukti hilang permanen dari memory.

Memory Acquisition Collecting Memory Dumps

RAM berisi informasi volatile dari proses/aplikasi yang berjalan. Kumpulkan memory dump untuk memulai examination. Tool:

  • Belkasoft LIVE RAM Capturer (https://belkasoft.com) klik Capture!, output folder ditentukan lebih dulu.
  • FTK® Imager (https://www.exterro.com) fitur Capture Memory, simpan ke file .mem

Dump ini tidak hanya berisi artifact browser, tapi semua aktivitas di mesin.

Memory Dump Analysis Bulk Extractor

Dump diperiksa di forensic workstation. Bulk Extractor (https://digitalcorpora.org) mengekstrak structured information seperti email addresses, credit card numbers, URLs, JPEGs, dan JSON snippets. BEViewer adalah UI untuk menelusuri hasilnya (bookmarking, exporting, menjalankan scan).

Kenapa cocok untuk kasus Tor: karena Tor menyembunyikan aktivitas di level jaringan, investigator perlu tool yang bisa "menyisir" raw memory dan meng-carve pola bermakna (email, URL, JSON) tanpa bergantung pada file system yang rapi. Bulk Extractor mengubah dump mentah menjadi feature files yang bisa dibaca (mis. email.txt, domain.txt, url.txt, json.txt).

7. Skenario A Browser Open

7.1 Memory Dump: Examine Email Artifacts (Open)

Menganalisis dump yang diambil saat browser terbuka untuk merekonstruksi aktivitas email. Fokus artifact: domain.txt, email.txt, url.txt, url_facebook-id.txt, histogram files, dan json.txt (sumber utama konten email). Alurnya bergerak dari umum → spesifik.

1 Identify the Domain

Cari domain spesifik email service provider di domain.txt. terlihat crl.microsoft.com tercatat di dump.

2 Identify the Email IDs

Karena domain terkait Gmail (mail.google.com) ditemukan, cari Gmail ID di email.txt terlihat Gmail ID mencurigakan ****ev@gmail.com.

3 Search for Composed Emails

Filter json.txt untuk entri yang memuat email ID tersebut. email yang di-compose berhasil diperoleh lengkap dengan attachment. Detail yang didapat:

  • Sender's email ID
  • Receiver's email ID
  • Subject
  • Body
  • File attachment
4 Search for Accessed/Opened Emails

Dump juga memuat email yang dibuka saat Tor terakhir diakses. Polanya: subject → body → sender/receiver ID → uploaded attachment. sebuah email yang dibuka ditemukan dengan attachment. Detail: Subject, Body, Sender ID, Receiver ID, File attachment.

Kenapa beda composed vs accessed penting: keduanya membuktikan hal berbeda. Email composed = pelaku aktif mengirim/menulis (bukti niat/aksi keluar). Email accessed = apa yang pelaku terima/baca (bukti masuk). Gabungan keduanya memungkinkan rekonstruksi timeline komunikasi dua arah dari satu RAM dump, meski Tor didesain menyembunyikan itu di jaringan.
Catatan editorial sumber: Step 1 menemukan crl.microsoft.com, tapi Step 2 langsung merujuk ke Gmail (mail.google.com) seolah domain Gmail sudah ditemukan. Ini kemungkinan lompatan/inkonsistensi kecil di materi asli (screenshot pada gambar menyorot domain Microsoft). Dipertahankan apa adanya, tapi di-flag supaya tidak bingung saat dipakai referensi.

7.2 Storage: Acquire Email Attachments (Open)

RAM dump membuktikan email dengan attachment memang ada, tapi isi file attachment tersimpan di disk. Storage medium bervariasi:

  • Physical machine → akuisisi bit-by-bit copy dari local storage.
  • Virtual machine → periksa virtual disk (VMDK, VHDX, OVF).

Skenario ini memeriksa file VMDK (diakuisisi saat browser terbuka) memakai Autopsy.

5 Retrieve the Uploaded File

Salin VMDK ke workstation, buka di Autopsy. Analisis dump mengungkap iamlegend.zip di-upload dan Secret_Credentials.txt di-download. Cari iamlegend.zip di folder Archives via:

Views → File Types → By Extension

Lalu klik kanan file → Extract File(s) untuk mengekstraknya, atau lihat isinya langsung di Autopsy.

6 Retrieve the Downloaded File

Cari Secret_Credentials.txt di folder Plain Text via Views → File Types → Documents Alternatif: cari di folder Web Downloads via Results → Extracted Content.

Note: periksa File Metadata untuk lokasi file & filesystem type. Menemukan lewat By Extension membuktikan file ada di disk; lewat Web Downloads membuktikan file sampai ke mesin lewat aktivitas download. Kombinasi keduanya memperkuat chain of evidence.

8. Skenario B Browser Closed

8.1 Memory Dump: Examine Email Artifacts (Closed)

Langkahnya identik dengan kasus open dan itu memang poinnya: menunjukkan seberapa banyak bukti yang masih bertahan meski browser ditutup.

  • Step 1 Domain: di domain.txt terlihat mail.google.com
  • Step 2 Email IDs: di email.txt terlihat Gmail ID mencurigakan ****ews@gmail.com
  • Step 3 Composed Emails: di json.txt, email composed berhasil diperoleh dengan attachment. Detail: Sender ID, Receiver ID, Subject, File attachment.
Perbedaan pertama saat browser tertutup: pada kasus open, email composed memberi 5 detail (termasuk body). Di sini body email hilang → tinggal 4 detail. Ini bukti konkret prinsip "makin tidak hidup browser-nya, makin sedikit artifact-nya". Sebagian data volatile (isi body) tidak lagi utuh di memory setelah browser diterminasi.

Step 4 Accessed/Opened Emails: artifact email yang diakses mungkin ada, mungkin tidak pada dump saat browser tertutup. Hasilnya bervariasi, tapi setidaknya partial artifacts bisa dipulihkan.

Kenapa non-deterministik: setelah browser ditutup, halaman memory yang menyimpan email yang dibuka bisa sudah di-overwrite proses lain, atau masih utuh sebagian tergantung jeda waktu akuisisi & kesibukan sistem. Investigator tidak boleh berasumsi bukti pasti hilang/ada; tetap harus dicari.

8.2 Storage: Acquire Email Attachments (Closed)

5 Retrieve the Uploaded File

Salin VMDK ke workstation, buka di Autopsy. Cari iamlegend.zip di folder Archives via Views → File Types → By Extension lalu extract atau baca langsung.

Kenapa tetap berhasil meski browser tertutup: file yang sudah tertulis ke disk (seperti iamlegend.zip) tidak ikut hilang saat browser ditutup beda dengan artifact volatile di RAM. Jadi walau body email lenyap dari dump, attachment fisiknya masih utuh di VMDK.
6 Retrieve the Downloaded File

Data email yang diakses/dibuka tidak terekam di memory dump (kondisi tertutup). Namun konten yang di-download (termasuk attachment) tetap bisa diambil dari folder Web Downloads via Results → Extracted Content

Kelemahan satu sumber ditutup sumber lain: memory dump saat browser tertutup kehilangan jejak email yang dibuka, tapi Secret_Credentials.txt yang di-download tetap ditemukan lewat Web Downloads di disk. Inilah alasan RAM dan storage saling melengkapi jangan bergantung pada satu artifact saja.

9. Skenario C Browser Uninstalled

! Tor Browser Uninstalled

Ketika dump dikumpulkan dari mesin yang Tor-nya sudah di-install lalu di-uninstall, dump tersebut tidak memuat catatan apa pun tentang event/aktivitas Tor. Saat diperiksa dengan Bulk Extractor, investigator tidak bisa mengambil artifact terkait Tor. Dalam kasus ini, andalkan analisis prefetch files.

Menutup lingkaran ke Bagian 5: ini skenario "artifact paling sedikit" yang sudah diprediksi. Begitu Tor di-uninstall, dua sumber terkaya (RAM live & places.sqlite) praktis kosong. Yang tersisa adalah artifact yang tidak ikut terhapus saat uninstall dan prefetch (C:\WINDOWS\Prefetch) adalah andalan terakhir karena tetap menyimpan bukti Tor pernah dijalankan, berapa kali, kapan, dan dari folder mana.

10. Ringkasan Referensi (Quick Reference)

Tabel keputusan: status browser × sumber artifact × apa yang bisa didapat.

Sumber Artifact Browser Open Browser Closed Uninstalled
RAM Dump
(Bulk Extractor)
Email composed (+body), accessed, URL, domain terlengkap Composed tanpa body; accessed = partial/varies Kosong tidak ada artifact Tor
Storage / Disk
(Autopsy, VMDK)
Uploaded & downloaded files utuh Uploaded & downloaded files tetap utuh File di disk hilang jika folder dihapus
Prefetch Bukti eksekusi Bukti eksekusi Fallback utama bukti eksekusi tetap ada
Registry / State Path & timestamp eksekusi Path & timestamp eksekusi Hilang saat uninstall

Tools Cheat Sheet

TujuanToolSource
Cek koneksi aktif Tornetstat -anoBuilt-in Windows
Analisis prefetchWinPrefetchViewNirSoft
Baca places.sqliteSQLite Database RecoverySysTools
Memory acquisitionBelkasoft LIVE RAM Capturer / FTK® Imagerbelkasoft.com / exterro.com
Analisis memory dumpBulk Extractor + BEViewerdigitalcorpora.org
Analisis storage / VMDKAutopsyOpen source

Module Summary

Referensi ini membahas fundamental dark web dan pentingnya dark web forensics, cara mengidentifikasi jejak Tor browser selama investigasi, serta cara melakukan Tor browser forensics secara mendetail lewat lima skenario status browser. Benang merahnya: Tor melindungi anonymity di level network, bukan endpoint sehingga investigasi bertumpu pada penggalian artifact lokal (RAM, storage, prefetch/registry) yang saling melengkapi sesuai kondisi browser saat akuisisi.

Disclaimer: materi ini disusun untuk keperluan edukasi DFIR dan investigasi authorized. Gunakan hanya dalam konteks legal (penegakan hukum, incident response resmi, atau lab pribadi).
tags