Este documento describe cómo investigar transacciones sospechosas de bitcoins utilizando técnicas de OSINT. Explica conceptos básicos de bitcoin como direcciones, billeteras y transacciones, y presenta herramientas como Blockchain.com y DarkBitcoinGraph para analizar direcciones y conexiones entre direcciones. Luego, realiza un caso de estudio utilizando DarkBitcoinGraph para generar un gráfico de direcciones conectadas que tienen historial de abuso, lo que puede ayudar a identificar actividades potencialmente ilegales.
2. whoami
• Analista senior de ciberseguridad con
un enfoque en respuesta a incidentes
en Tempest Security Intelligence
• Entusiasta de OSINT que es
voluntario y participa de los CTFs de
TraceLabs
• Certificaciones: Security+, CySA+,
Pentest+
Aracaju, Sergipe
Brasil
4. 1. Conceptos de bitcoin
• Nodo (cliente bitcoin):
• Seguir las normas
• Compartir información de transacciones (frescas e confirmadas)
• Conservar una copia de las transacciones confirmadas
• El grupo de memoria almacena las transacciones que se procesarán
para luego enviarlas a blockchain, si se confirma
grupo de
memoria
blockchain
5. 1. Conceptos de bitcoin
• Minería
• Extraer transacciones en el grupo de memoria a la blockchain
• Las transacciones de bitcoins se pasan de un nodo al siguiente.
• Bloque
• Montón de transacciones formadas por mineros.
• Transacciones
• Idea: Uno de los nodos minará su transacción en un bloque, que se agregará a las
transacciones confirmadas
• No es la transferencia de la cantidad exacta de monedas que tienes
• Una dirección mantiene un seguimiento de cada transacción individual que ha recibido
6. 1. Conceptos de bitcoin
• Tipos de Transacciones
• Simple
• Si tienes 23 BTC y quieres comprar algo que cuesta 3 BTC
Dirección 1
23
Dirección 2
3
Dirección 1
20
salida
salida
7. 1. Conceptos de bitcoin
• Tipos de Transacciones
• Usando salidas como entradas
• Si tienes outras salidas y quieres comprar algo que cuesta 5.5 BTC
Dirección 2 Dirección 3
5.5
Dirección 2
salida
salida
3
1
2 0.5
entradas
8. 1. Conceptos de bitcoin
• Billetera
• En realidad no almacenan dinero, sino otras direcciones
• Las direcciones que se gastan en transacciones con múltiples entradas
se denominan direcciones de gasto compartido
• Si las direcciones se gastan conjuntamente en la misma transacción,
son parte de la misma billetera
Billetera 1
Dirección A
Dirección B
Dirección C
18. 3. DarkBitcoinGraph
• La herramienta
• Escrito en Python
• Se ejecuta en la línea de comando
• Trae la billetera, las transacciones con registros de abuso y los
principales remitentes
• Cree un archivo con los resultados que se utilizarán para generar un
grafo em osintcombine.tools
• https://github.com/netoeuler/darkbitcoingraph
• python3.6 darkbitcoingraph.py <dirección>
21. 3. DarkBitcoinGraph
• Caso de estudio
python3.6 darkbitcoingraph.py 12kieSEdCV4ikxdXXXC23ZsDcNmmKrRmwA
>: entrada
<: salida
La API da solo los
10 abusos más
recientes de la
dirección
Las cinco direcciones
que enviaron y las cinco
que recibieron más
veces desde y hacia
esta dirección
Solo se consideran
direcciones con más de
una transacción. Si hay
cinco o menos, se
mostrarán todos
Los análisis son
con las últimas 100
transacciones
24. 3. DarkBitcoinGraph
• Caso de estudio
python3.6 darkbitcoingraph.py 17A16QmavnUfCW11DAApiJxp7ARnxN5pGX
La proxima
busqueda
25. 3. DarkBitcoinGraph
• Caso de estudio
python3.6 darkbitcoingraph.py 12cgpFdJViXbwHbhrA3TuW1EGnL25Zqc3P
Esta es la
dirección
anterior, por
lo que esta
ruta está
terminada
28. 3. DarkBitcoinGraph
• Caso de estudio
python3.6 darkbitcoingraph.py bc1qwfgdjyy95aay2686fn74h6a4nu9eev6np7q4fn204dkj3274frlqrskvx0
Indicación de no
receptores con
2 o más
transacciones
38. 4. Trabajos futuros
• Otras formas de analizar
• Bloques
• Periodicidad de las transacciónes de una dirección
• Tal vez podamos agregar algo de Machine Learning en el
análisis