Tortilla — весь TCP и DNS трафик из виртуальной машины через TOR


Пошаговое руководство по направлению всего TCP и DNS трафика из виртуальной машины через TOR.

Тема уже поднималась в 2012 году: «Как направить весь tcp-трафик с гостевой Windows системы через Tor» с использованием tun2socks и виртуального сетевого адаптера TUN/TAP от OpenVPN.

Однако на Black Hat USA 2013 был представлен доклад «TOR… ALL-THE-THINGS!», в котором анонсировали новый инструмент от Jason Geffner из CROWDSTRIKE INC под названием Tortilla. Также Tortilla упоминается в официальном Tor FAQ в разделе What should I do if I can't set a proxy with my application?. Это виртуальный сетевой адаптер, который просто установить и использовать.

Потребуется:
  1. TOR Expert Bundle
  2. Tortilla
  3. Виртуальная машина


Все настройки производятся на физическом компьютере (host system).
В операционной системе виртуальной машины (guest system) ничего настраивать не нужно.


Установка TOR Expert Bundle


Скачиваете инсталлятор и для корректной установки запускаете от имени администратора.



По завершении установки запускаете Tor.



Откроется окно, где ожидаете установления полного соединения до сообщения Bootstrapped 100%: Done.



Установка Tortilla


Драйвер сетевого виртуального адаптера Tortilla имеет специальную тестовую подпись и для его установки и работы во всех 64-bit и некоторых 32-bit версиях Windows Vista и последующих, требуется включить поддержку такой подписи, воспользовавшись инструкцией Microsoft.

Для этого необходимо запустить командную строку от имени администратора.



И в открывшемся окне командной строки выполнить Bcdedit.exe -set TESTSIGNING ON



После чего перезагрузиться.

Затем скачиваете и распаковываете архив. Запускаете Tortilla. Откроется окно.



Появится запрос на установку драйвера Tortilla, который нужно все равно установить.



Если предложение к установке драйвера не появляется, а сразу возникнет ошибка — это означает, что вы не включили поддержку тестовой подписи драйверов (см. начало установки Tortilla).



В итоге после успешной установки драйвера и запуска Tortilla вы должны увидеть окно с сообщением Ready to receive network traffic from virtual machine



Также в сетевых подключениях вы увидите новый подключенный виртуальный сетевой адаптер Tortilla Adapter.



Настройка сети виртуальной машины на примере VMware


В VMware откройте Virtual Network Editor. Там выберите сеть VMnet0 и в настройках укажите тип соединения Bridged, выбрав сетевой адаптер из списка Tortilla Adapter.



Затем в настройках виртуальной машины укажите в свойствах Network Adapter тип соединения Custom, выбрав из списка сеть VMnet0.



В итоге


После запуска виртуальной машины в окне Tortilla вы должны увидеть какой трафик побежал через TOR.



Все.

UPD. ВАЖНО.
Для нормальной работы пользуйтесь TOR BROWSER BUNDLE.
Скачайте последнюю версию TOR Browser Bundle и запустите ее.


В файле Tortilla.ini (в каталоге Тортиллы) пропишите вместо порта 9050 порт 9150.



По всей видимости TOR Expert Bundle не обновляется, а для TOR Browser Bundle все время выходят новые версии, видимо связанные с модификацией TOR сети.
В этой связи работа через TOR Expert Bundle связана с постоянными ошибками HTTPS, а т.к. многие сайты сейчас переходят на шифрование, это затрудняет работу.

При работе через TOR BROWSER BUNDLE нет ошибок HTTPS и JAVA приложения работают без сбоев, скорость увеличилась.

UPD.
Все же сбои при работе с HTTPS остаются, однако можно перезагрузить TOR соединение опцией «Новая личность», нажав на зеленую луковицу в браузере TOR.
Share post

Similar posts

Comments 25

    0
    С учетом версии 1.1.0 которая не изменила за год своего существования статуса с Beta, а также массы всего интересного, что произошло за год с Tor, не говоря уже о
    Появится запрос на установку драйвера Tortilla, который нужно все равно установить.

    Спасибо, я пожалуй воздержусь от таких экспериментов :)
      0
      Воздержание безусловно дело полезное ;)
      Разрешение на тестовую подпись легко отключить командой Bcdedit.exe -set TESTSIGNING OFF и драйвер перестанет работать.
      Есть исходники на GitHub
        0
        Для меня решающим стала не тестовая подпись драйвера, а информация о создателе.
        CrowdStrike Story

        Our mission started with three founders, a napkin, and five simple bullet points:

        Stop Bad Guys — Detect. Respond. Reveal
        Fix Security — Create Products That Work
        Identify Who, What & Why — Threat Intel
        Save Our Customers — Incident Response
        Raise Money — Investors Who Get It


        Т.к. пункт «Identify Who, What & Why» и Tor должны быть несовместимы — пока воздержусь :)
          0
          А «Stop Bad Guys — Detect. Respond. Reveal» вас не смущает?
          С таким подходом лучше не использовать Windows вообще ;)

          Threat Intel — это threat intellegance = исследование малвары. В анонсе доклада на Black Hat USA 2013 пишут: «Want to dynamically analyze malware without letting the C2 server know your home IP address?» — то есть предполагается использование в исследовательских целях ;) А еще через нее flash, java и все остальное льется.

          По моему скромному мнению когда-нибудь мы узнаем от очередного Сноудена, что Tor тоже создан АНБ для концентрации в нем всяких левых движений, чтобы их было проще отслеживать. Поэтому лучше поверх еще и VPN поднимать.
            0
            Опечатка: threat intelligence
        0
        Кстати только что устанавливал свежескачанный openvpn-2.0.9-gui-1.0.3-install.exe с openvpn.se — так вот там тоже при установке «Не удается проверить издателя этих драйверов».
      0
      В качестве альтернативы можно посоветовать Whonix: www.whonix.org/

      Там две виртуальные машины — одна — Tor router (gateway), вторая — собственно виртуалка, на которой работают (workstation, debian). Весь траффик с workstation заворачивается на gateway/router.

      Но если требуется позарез виртуалка под Windows, то можно попробовать Тортиллу.
        0
        Кстати Тортилле как я понял пофиг какая операционка на виртуалке.
          0
          Сама Tortilla только под WIndows, если судить по исходникам на GitHub: там только файлы проектов для VS: ни мейкфайлов, ни симейкфайлов, и в заголовках всякие #include без условий в макросах для ОС и компилятора. Вообще я смысл в виртуалке с Win вижу только в роли дополнительного слоя для spoofing'а ОС, без адекватных юниксовых sys / socket h и curl / curl h на клиенте совсем скучно с серверами добрых людей обмениваться сегментами.
            0
            Неосилил ;) Имеется ввиду что с исходников гитхаба не скомпилировать под nix? Так имелось ввиду что без разницы какая ось внутри вируталки. Ставьте в нее что душе угодно и обменивайтесь любыми сегментами с кем захотите ;) Не?
            0
            В whonix тоже можно подменить workstation на любую другую виртуалку, соединенную с gateway при помощи внутреннего сетевого интерфейса виртуалки. Таким образом можно получить полностью «заторенную» windows.
              0
              Только размер Whonix-Gateway 1.5 гигабайта рвет мозг, зачем простому маршрутизатору столько места, что они туда напихали?
                0
                Кеды. Почему? Потому что их любит разработчик. К счастью, они не стартуют, если урезать виртуалке память. Подробная информация высвечивается при импорте ova.
          +1
          Ну и нельзя не упомянуть ОС Tails, которая запускается со съёмного носителя и также весь трафик заворачивает через Tor, при этом вообще не оставляя следов на хосте.
            –4
            Tails не OS. Tails — сборка Debian GNU/Linux. Нет такой OS Tails. Не вводите людей в заблуждение. Либо пишите Tails GNU/Linux, либо пишите честно, что это просто сборка от неизвестного кого для ленивых.
          • UFO just landed and posted this here
              0
              Что для каких целей?
              0
              Ну, на мой взгляд есть способ немножко проще.
              Скачивается всё тот же TOR, запускается, а затем берется Proxifier в котором указывается что трафик VitualBox должен идти через адрес локального прокси TOR, который висит на, не помню уже каком, порту…
              PROFIT?!
                0
                С Тортиллой нет опасений, что какой-то трафик пойдет напрямую, а с проксифером что-то может и напрямую пулять, например Java. Тортилла заявлена в первую очередь для исследования малвары, которая легко может обходить проксиферы и т.п.
                0
                Так же можно использовать сборку тортила +Advor или в комплекте Tor browser (предварительно поменяв в тортиле порт 9050 на 9150 или наоборот).
                Почему так — то сам TOR Expert Bundle бывает падает, если падает, долго реконнектится, а ручного управления не предусмотрено…

                Vmware тоже какие-либо данные может пропускать в гостевую машину… просто исходя из того что она обновляет и подписывает свои драйвера и софт в гостевой, может про вмарю не прав, переубедите пожалуйста, интересная тема для обсуждения, да и вообще о применении луковицы и анонимности (безопасности) с ней.
                Всем спасибо, люблю свою страну и умные и не очень головы в ней.
                  0
                  advtor или Advanced Onion Router = прикольная и многофункциональная штука, производителем заявлено «все в одном» = «Tor, Vidalia, Privoxy/Polipo и т.д.» — надо бы попробовать посмотреть, понастраивать.

                  Однако у меня исходной задачей была гарантированная работа Java через Tor и т.к. я не совсем представляю как advtor или Polipo перехватывают трафик и не знаю точно может ли часть трафика идти мимо (а что-то мне подсказывает что может ;) = идеальным решением становится сетевой адаптер Tor, что собственно и представляет из себя Tortilla.

                  По протечке Vmware — ну наверное возможность существует конечно, но для этого думаю в гостевой трой должен изощренный запустится и заразить хостовую машину (где-то читал что уже есть прецеденты), ну а если троя нет, то централизованно думаю только АНБ шпионить может.
                  0
                  По практике проблемы при использовании:
                  1. Медленнее чем браузер Tor.
                  2. Плохо работает https — для стабильности можно запустить VPN в гостевой, но становится еще медленнее, но может можно получше VPN подобрать и цепочку прописать нодами поближе к VPN.
                  3. При выходе из спящего режима или гибернации — сеть отрубается в виртуалке — требуется перезагрузка Tortilla и в некоторых случаях перезапуск адаптера.
                    0
                    ВАЖНО
                    Для нормальной работы пользуйтесь TOR BROWSER.

                    Для этого в файле Tortilla.ini (в каталоге Тортиллы) пропишите вместо порта 9050 порт 9150. Скачайте последнюю версию TOR BROWSER и запустите ее.
                    По всей видимости TOR Expert Bundle не обновляется, а для TOR BROWSER все время выходят новые версии, видимо связанные с модификацией TOR сети.
                    В этой связи работа через TOR Expert Bundle связана с постоянными ошибками HTTPS, а т.к. многие сайты сейчас переходят на шифрование, это затрудняет работу.

                    При работе через TOR BROWSER нет ошибок HTTPS и JAVA приложения работают без сбоев, скорость увеличилась.
                      0
                      кто нибудь нашел способ запуска нескольких виртуалок таким образом?
                      DhcpClientIpAddress = 192.168.0.100
                      сюда бы как то вписать несколько адресов, но тортилла не воспринимает такой конфиг…

                      Only users with full accounts can post comments. Log in, please.