OsintOps Blog

OsintOps is the blog dedicated to all news concerning OSINT (and more)

Come recuperare l’accesso a un wallet Bitcoin con BTCrecover (o almeno provarci)

I wallet di tipo desktop, ad esempio Electrum, per funzionare e custodire le informazioni degli utenti, creano degli appositi file. In questi file possiamo trovare informazioni come indirizzi presenti nel wallet, transazioni effettuate, informazioni sul tipo di wallet, ecc. Ovviamente, dato che si tratta di informazioni molto delicate, questi file solitamente vengono cifrati e non sono consultabili senza conoscere la password corretta.

Potrebbe capitarci di dover accedere a un wallet di cui non conosciamo la password, ad esempio perché la abbiamo dimenticata, o perché stiamo cercando di accedere al wallet di un “cattivo” durante un’attività di digital forensics.

L’ambiente di riferimento

Per l’esempio di oggi useremo la distro Tsurugi Linux, una distribuzione orientata ad attività di DFIR, in cui sono inclusi moltissimi tool attentamente catalogati e divisi in categorie, tra le quali ve ne è una dedicata alle “Crypto Currency”.

 

Tsurugi Tools

Ipotizziamo di avere già creato un wallet con il client Electrum. In caso contrario, quì è possibile trovare la guida ufficiale per crearne uno. I file di Electrum, tra cui i wallet creati, vengono memorizzati in una cartella nascosta all’interno della home directory.

Per visualizzarli possiamo aprire il terminale e digitare il comando

ls -a

Il comando ls serve per elencare (listare) il contenuto della cartella corrente, mentre l’opzione -a serve per includere nell’output le cartelle e i file nascosti.

 

comando ls-a

Se abbiamo già creato un wallet con Electrum e tutto è andato secondo i piani, dovremmo vedere la cartella .electrum. Al suo interno troveremo la sotto-cartella wallets, che conterrà tutti i file relativi ai wallet che abbiamo creato.

Conosciamo gli strumenti

Per provare a recuperare l’accesso a un wallet, nel nostro caso creato con Electrum, useremo il tool BTCrecover, presente nel menu di Tsurugi dedicato alle Cripto Currency. Oltre ai wallet Bitcoin creati con Electrum, il tool è in grado di gestire moltissimi altri file, tra cui wallet creati con client Armory, MultiBit, Bither, ecc. Ovviamente, non è necessario che i wallet siano relativi a Bitcoin: possono essere anche relativi ad altre valute virtuali, gestite dai client che il tool supporta.

Quando il tool viene eseguito, vanno indicati il file wallet che si desidera aprire e una lista di password da provare. In alternativa a una lista di password è possibile fornire una lista di parole che nella guida ufficiale vengono chiamate token, per creare password composte da combinazioni di queste parole.

Prepariamoci

Nel nostro esempio proveremo a trovare la password di un file wallet dal nome “default_wallet”, nome che viene suggerito dal client Electrum durante la fase di creazione.

Per evitare di lavorare direttamente sul nostro file wallet, rischiando di danneggiarlo, cominciamo con il creare una copia del file, magari in un’altra cartella di lavoro. Innanzitutto, usando il comando

cd .electrum/wallets

dal nostro terminale, ci posizioniamo nella cartella dove è presente il file da analizzare. Poi copiamo il file nella cartella Documenti, con il comando

cp default_wallet /home/osintops/Documenti/

Ovviamente al posto di osintops dovrete usare il nome utente relativo al vostro ambiente di lavoro.

Copia del file wallet

A questo punto, per provare ad aprire il file wallet, ci servirà una lista di password da provare. Online è possibile trovarne moltissime di svariate dimensioni, anche svariati gigabyte. Per i nostri scopi, ci basterà creare un piccolo file di testo contenente alcune password tra cui quella giusta e memorizzarlo all’interno della medesima cartella in cui abbiamo copiato il wallet da aprire.

Password list

Eseguiamo il tool

Ora che abbiamo predisposto quanto ci serve, possiamo eseguire il tool BTCrecover. Per prima cosa portiamoci nella cartella dove abbiamo memorizzato la copia del file wallet da aprire e la lista della password da provare, nel nostro caso Documenti. Usiamo il comando

cd ../../Documenti

La sequenza “..” serve per tornare alla cartella precedente: prima siamo tornati alla cartella .electrum, poi alla cartella home, e poi si siamo portati nella cartella Documenti.

A questo punto eseguiamo il tool BTCrecover, con il comando

btcrecover.py –wallet default_wallet –passwordlist list

Password found

In pochissimo tempo (data anche la brevità della lista utilizzata), il tool è riuscito ad individuare la password corretta per accedere al wallet. A questo punto, aprendo il wallet tramite il client Electrum, sarà possibile sia visualizzare tutte le informazioni sullo storico del wallet, sia spendere i bitcoin eventualmente disponibili.

 

Conclusioni

Abbiamo visto come, utilizzando un paio di comandi linux e un ottimo tool, possiamo recuperare l’accesso a un wallet utilizzato per la gestione di valute virtuali. In pratica abbiamo potuto osservare che, utilizzando gli strumenti giusti, si possono ottenere con semplicità risultati molto incisivi.

Immaginiamo di avere davanti un computer da analizzare e di riuscire ad individuare alcuni file wallet. Utilizzando una simile soluzione potremmo riuscire ad avere accesso ai bitcoin del “cattivo” e, qualora ne sussistano i presupposti, potremmo anche provare a sottoporli a sequestro.

 

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

OsintOps News Channel

Latest Posts

  • The difficult detection in Art: between Osint, Music and (anti)censorship
    The difficult detection in Art: between Osint, Music and (anti)censorship. Journey through the hidden meanings of words, both in art and anti-censorship, and on the difficulties of making OSINT in languages and cultures other than one’s own.
  • La difficile detection nell’Arte: tra Osint, Musica e (anti)censura
    La difficile detection nell’Arte: tra Osint, Musica e (anti)censura. Viaggio tra i significati nascosti delle parole, sia nell’arte che nella lotta alla censura e sulle difficoltà di fare OSINT in lingue e culture diverse dalla propria.
  • Enterprise Incident Response with Velociraptor: when tempo is all
    On the occasion of Matera DigiSec 2024, I decided to illustrate a tool that is still little known (unfortunately!) but instead is part of the tools of many Incident Response teams and perhaps deserves more prominence. I am talking about the opensource tool Velociraptor, on which I based my short talk, entitled “Enterprise Incident Response with Velociraptor: when time is all.”
  • Enterprise Incident Response with Velociraptor: when tempo is all
    In occasione del Matera DigiSec 2024 ho deciso di illustrare un tool ancora poco conosciuto (purtroppo!) ma che invece fa parte degli strumenti di molti team di Incident Response e che forse meriterebbe maggior rilievo. Sto parlando del tool opensource Velociraptor, sul quale ho basato il mio breve intervento, dal titolo “Enterprise Incident Response with Velociraptor: when tempo is all”.
  • First Presentation of the Anu₿itux Project
    Anubitux Project presented for the absolute first time the open-source distribution Anubitux, during the Cyber forensics IISFA Forum 2024, in Rome

Popular Categories