INCIDENT HANDLING BARANG BUKTI DIGITAL UNTUK

PEMBUKTIAN KASUS PIDANA DENGAN PENDEKATAN

NIST SP 800-86
I Made Surya Andika (23217083)
Sekolah Teknik Elektro dan Informatika
Institut Teknologi Bandung
Jawa Barat, Indonesia
suryandika86@gmail.com

__
Abstrak Seiring dengan kemajuan teknologi yang sangat cepat, semakin sulit juga untuk
menemukan barang bukti yang terkandung dalam media digital. Meskipun hal ini sering
tidak dianggap menjadi masalah bagi kebanyakan orang, namun para pengacara dalam
beberapa tahun terakhir mulai mengalami masalah substansial dalam menangani
kompleksitas bukti digital di jaman modern ini, salah satu masalah yang dihadapi adalah
ketidakmampuan untuk mengetahui apa yang harus dicari, dan bagaimana mendapatkannya.
Kesulitan-kesulitan ini telah menyebabkan munculnya ahli forensik dan ahli-ahli lainnya
yang dapat membantu pengacara dalam menangani seluk-beluk bukti digital. Dalam
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
telah diatur tentang kejahatan dalam internet atau yang sering kita dengar dengan istilah
cyber crime. Kasus pidana dalam kategori ITE melibatkan barang bukti yang berkaitan
dengan digital, seperti yang sering terjadi saat ini adalah kejahatan dalam internet. Untuk
membuktikan bahwa terjadi kejahatan di dunia internet, kita perlu mendapatkan data baik itu
foto/log/document/video atau yang lainya di dalam perangkat digital yang digunakan untuk
tindak kejahatan. Diperlukan teknik khusus untuk mendapatkan barang bukti digital, begitu
juga untuk menganalisa nya. Setiap tahap untuk mendapatkan bukti digital harus dilakukan
secara terperinci dan sesuai dengan prosedur yang di tentukan, hal ini bertujuan agar barang
bukti tetap terjaga keasliannya dan tidak mengalami perubahan sedikitpun. Di dalam
makalah ini akan membahas tentang Incident Handling pada kasus web defacement dan
melakukan simulasi computer forensic dengan menggunakan pendekatan NIST SP 800-86.

Kata kunci__ Incident Handling, Computer Forensic, Defacement, Cyber Crime

1
 I. Pendahuluan

1.1. Latar Belakang Masalah

Website telah menjadi bagian penting dari kehidupan sehari-hari manusia.
Setiap hari, orang berinteraksi dengan banyak aplikasi website untuk komunikasi,
pendidikan, dan hiburan. Namun, keragaman dan kerumitan saat implementasi
website menyulitkan pengembang website untuk membuat aplikasi website yang
bebas bug dan kerentanan. Dengan demikian, bug / kerentanan ini memberi peluang
bagi penyerang untuk berkompromi dengan situs website tersebut.
Selama 10 tahun terakhir, banyak kerentanan website yang telah ditemukan,
diungkapkan oleh peneliti dan vendor perangkat lunak, dan diterbitkan pada Common
Vulneralbility and Exposure database (CVE)[1]. Dengan adanya ini, maka memberi
kesempatan bagi penyerang untuk melakukan kejahatan terhadap website. Penyerang
dapat dengan mudah memilih kerentanan target. Namun, tidak semua kerentanan itu
dapat dimanfaatkan.
Salah satu kejadian yang terjadi yaitu kasus website defacement pada situs di
internet. Kejadiannya sebagai berikut. Pelaku memanfaatkan fasilitas pada search
engine google untuk menemukan target website yaitu google dork. Dengan
memanfaatkan fasilitas inurl, pelaku mendapatkan informasi kerentanan dari situs di
internet. Dengan informasi ini, pelaku mengetahui bagaimana melakukan defacement
dengan kerentanan tersebut. Dengan begitu, pelaku bisa melakukan website
defacement.
Pada makalah ini, akan dibahas mengenai kasus yang terjadi pada situs di
internet. Pertama, akan dilakukan rekonstruksi kejadian, sehingga akan diketahui
bagaimana pelaku melakukan kejahatan. Setelah itu, untuk pembuktian serta
mendapatkan barang bukti, maka akan dilakukan computer forensic, berupa browser
log file dan file yang ada di laptop pelaku. Sehingga, dengan adanya rekonstruksi
kejadian dan computer forensic, diharapkan dapat memperoleh barang bukti, dan
barang bukti tersebut dapat dijadikan materi pendukung ketika persidangan
dilakukan.

2
 Metodologi Penelitian
Tahap-tahap yang digunakan untuk Incdent Handling barang bukti digital pada
makalah ini menggunakan pendekatan yang telah di jelaskan pada NIST-800-86 tentang
computer security yaitu:

 Tahap Persiapan
Pada tahap ini akan melakukan,
o Membentuk tim untuk melakukan rekonstruksi kejadian dan melakukan tahapan
forensic.
O Memahami insiden yang terjadi.
 Tahap Identifikasi
Pada tahap ini akan melakukan,
o Mengumpulkan informasi yang cukup tentang insiden yang terjadi untuk
membuat langkah – langkah selanjutnya.
o Mengidentifikasi insiden yang terjadi serta membuat rencana rekonstruksi
kejadian.
o Mengidentifikasi barang bukti serta membuat rencana forensic yang akan
dilakukan.
O Menyiapkan tool dan media yang dibutuhkan.
 Tahap Rekonstruksi Kejadian
o Melakukan rekonstruksi kejadian.
 Tahap Pembuktian
o Melakukan computer forensic sebagai tahap pembuktian serta untuk
mendapatkan barang bukti
 Tahap Analisis
o Melakukan analisis terhadap rekonstruksi kejadian serta computer forensic




















3
 Website Defacement

Pengertian Website Defacement

Secara harfiah arti Web Defacement adalah pengubahan halaman web,
pengubahan halaman web ini tidak diketahui oleh pemilik sah dari web. Para pemilik
sah dari web, biasanya akan mengetahui ada proses pengubahan apabila telah terjadi
perubahan pada tampilan dari web mereka. Perubahan pada tampilan web bisa
berupa berubahnya gambar atau teks maupun link terhadap halaman web lain.
Tujuan seseorang melakukan web defacement biasanya adalah hanya ingin
menunjukkan kemampuan dirinya. Pada umumnya situs web yang dirusak
memanfaatkan kerentanan yang terdapat pada web server untuk mendapatkan shell
root, yang kemudian menyuntikkan kode berbahaya ke halaman web target yang
berada pada server.[3]

Tahap Website Defacement

 Tahap pengintaian dan penjejakan
Pada tahap ini penyerang akan mengumpulkan informasi sebanyak-
banyaknya tentang target yang akan diserang. Informasi awal yang bisaanya dicari
adalah mengenai sistem operasi dan web server yang digunakan pada target. Untuk
mendapatkan informasi ini penyerang bisa menggunakan beberapa strategi,
misalnya penyerang melakukan tindakan untuk meyakinkan orang - orang yang
mempunyai akses terhadap suatu sistem, penyerang berpura- pura menjadi orang
yang bisa dipercaya oleh pihak lain yang memiliki akses terhadap suatu sistem.
Memanfaatkan orang dalam, penyerang bekerja sama dengan seseorang di dalam
organisasi untuk melakukan penyerangan terhadap sistem yang dimiliki oleh
organisasi tersebut.

 Pemindaian
Setelah penyerang mendapatkan informasi target dari serangannya, maka
tahap selanjutnya adalah mencari celah untuk masuk ke dalam sistem.

 Mendapatkan akses
Pada tahap ini terjadi proses untuk melakukan ekploitasi terhadap kesalahan
implementasi dan kerentanan dari sistem komputer maupun jaringan. Bisaanya
disebut juga dengan fase penetrasi. Penyerang mulai memanfaatkan kesalahan-
kesalahan ataupun kelemahan-kelemahan yang terdapat pada suatu sistem.
4
  Mempertahankan akses

Pada tahap ini terjadi proses penguasaan terhadap sistem, dan bisaanya disertai
dengan proses untuk mempertahankan akses tersebut dengan cara memasang
backdoor, rootkit, atau trojan. Web defacemant terjadi pada tahap ini. Sistem yang
sudah dikuasai ini bisa juga dimanfaatkan untuk melakukan serangan terhadap sistem
lain.

 Membersihkan jejak
Pada tahap ini penyerang akan membersihkan jejak dengan cara
memanipulasi atau menghapus bukti yang terdapat pada catatan/log sistem atau
IDS yang merekam aktifitas yang telah dilakukan.[3]

Metode untuk Melakukan Website Defacement

Pada proses web defacement, hacker akan mencari kelemahan- kelemahan
yang terdapat pada sistem web server. Karena tujuannya hanya mengubah
halaman web, maka hacker akan berusaha untuk menemukan dan melakukan
perubahan pada pada file index dan bahkan mengganti file index tersebut. Hacker
bisaanya menggunakan tool-tool yang berfungsi untuk mengetahui kerentanan
suatu website. Tool-tool untuk memindai kerentanan ini bisa diunduh secara bebas
dari internet.

Kerentanan suatu website bisa disebabkan beberapa hal, yaitu kerentanan

dari program web server (IIS atau Apache), kerentanan dari sistem operasi yang
digunakan, dan kerentanan dari kode program yang digunakan untuk membangun
halaman web. Apabila kerentanan sudah diketahui, maka hacker akan
mengexploitasi kerentanan tersebut untuk mendapatkan hak akses sebagai
root/administrator dari sistem.

Dalam mengekploitasi kerentanan, para menyerang menggunakan kode-

kode berbahaya atau exploit code. Exploit code adalah kode-kode program yang
digunakan untuk melakukan exploitasi terhadap kerentanan suatu sistem. Kode-
kode ini bisa dibuat dari bahasa pemrograman Java, C, Perl, dan lain-lain. Untuk
membuat exploit code ini, seorang hacker harus menguasai bahasa pemrograman
yang akan digunakan.[3]

5
Google Dork
Seperti yang kita ketahui, mesin pencari dirancang untuk mencari informasi
secara efisien di internet. Biasanya, pengguna cukup memasukkan istilah pencarian
(kata kunci) dan mesin pencari akan mengembalikan hasil berupa situs yang relevan
dengan informasi yang terkait. Namun mesin pencarian juga mendukung beberapa
operator khusus untuk penelusuran yang relatif kompleks, seperti inurl, intitle, dan
intext. Ketika melakukan pencarian dengan operator khusus ini disebut Google
Dorks. Dengan bantuan Google Dorks, pengguna dapat dengan mudah dan dengan
cepat menemukan hasil pencarian yang lebih akurat.
Dalam beberapa tahun terakhir, Google Dorks juga telah oleh penyerang untuk
melakukan Google Hacking [11]. Sebagai contoh, inurl: \ search results.php? Browse
= 1 " adalah Google Dork yang dapat mengungkapkan situs web dengan skrip SQL
injection yaitu Dating SoftBiz, kerentanan yang memungkinkan penyerang untuk
mengeksekusi SQL injection dengan remote. Gambar 1 menunjukkan beberapa hasil
pencarian Google seperti Google Dork. Di makalah ini, kami juga menggunakan
Google Dorks tersebut sebagai masukan untuk menemukan situs web yang rentan.[4]

Gambar 1. Hasil google dork inurl: \ search results.php? Browse = 1 "

Website Vulneralbility
Dengan semakin banyaknya aplikasi yang dapat berinteraksi melalui antarmuka
web, seperti perbankan online, belanja online, dan jejaring sosial online, maka
serangan jarak jauh pada aplikasi web sedang meningkat karena keuntungan besar
dan masalah skalabilitas. Dengan demikian, kerentanan terkait web menarik lebih
banyak perhatian penyerang daripada eksplotasi kerentanan perangkat lunak secara
lokal dan tradisional. Berdasarkan database yang ada di CVE, 90% kerentanan web
terbagi menjadi 4 kategori sebagai berikut.[4]
 SQL Injection [5]

6
Dilakukan dengan menyuntikkan string ke dalam query database sehingga mengubah
konten database atau membuang informasi basis data seperti password.
 Cross-Site Scripting (XSS) [6]
Dilakukan dengan menyuntikkan JavaScript ke aplikasi web untuk memotong akses
kontrol.
 Remote Execution [7]
Memungkinkan penyerang untuk menjalankan kode arbitrer dalam target server untuk
menjalankan perintahnya sendiri.
 Path Traversal [8]
Memungkinkan penyerang untuk mengakses file yang seharusnya tidak dapat
diakses.
Website Log
Merupakan file yang dihasilkan oleh Web server untuk merekam aktivitas di
Web server. Biasanya memiliki fitur-fitur berikut:

 File log adalah file teks. Rekamannya identik sesuai format.

 Setiap catatan dalam file log mewakili permintaan single HTTP.
 Catatan file log berisi informasi penting tentang permintaan: nama host klien
atau alamat IP, tanggal dan waktu permintaan, nama file yang diminta,
status dan respons HTTP,
URL rujukan, dan informasi browser.
 Sebuah browser dapat memunculkan beberapa permintaan HTTP ke Web
server untuk menampilkan satu halaman Web. Hal ini dikarenakan halaman
Web tidak hanya membutuhkan file HTML namun juga perlu file tambahan,
seperti gambar dan file JavaScript. FIle HTML dan file tambahan semuanya
membutuhkan permintaan HTTP.
 Setiap Web server memiliki format file lognya sendiri.
 Jika situs Web dihosting oleh ISP (Penyedia Layanan Internet), ISP mungkin
tidak menyimpan log file, karena log file bisa sangat besar jika situs ini
sangat sibuk. Sebaliknya, ISP hanya memberi laporan statistic yang dihasilkan
dari log file.
Hampir semua Web server menggunakan format umum untuk file log mereka.
File-file log ini mengandung informasi seperti alamat IP dari remote host, dokumen
yang diminta, dan stempel waktu. Sintaks untuk setiap baris file log seperti berikut:
site logName fullName [tanggal: time GMToffset] "req file proto" status length.
Salah satu contoh dapat dilihat dibawah:
7
204.31.113.138 - - [03 / Jul / 1996: 06: 56: 12 -0800] "GET
/PowerBuilder/Compny3.htm HTTP / 1.0" 200 5593

Masing-masing dari sebelas item yang tercantum dalam sintaks di atas akan
dijelaskan sebagai berikut:
 Situs atau alamat IP yang membuat permintaan HTTP. Dalam contoh di atas
remotehost adalah 204.31.113.138.
 Nama login LogName dari pengguna yang memiliki akun yang membuat
permintaan HTTP. Tidak semua web server menyediakan informasi ini, untuk
gantinya menggunakan dash (-).
 Nama lengkap dari pengguna yang memiliki akun yang membuat permintaan
HTTP. Jika server memerlukan id pengguna untuk memenuhi permintaan
HTTP, maka id pengguna akan ditempatkan di bagian ini.
 Tanggal permintaan HTTP. Pada contoh di atas adalah 03 / Jul / 1996.
 Waktu permintaan HTTP. Waktu akan disajikan dalam format 24 jam. Pada
contoh waktunya adalah 06:56:12
 Offset yang ditandatangani oleh GMT offset dari Greenwich Mean Time.
GMT adalah referensi waktu internasional. Pada contoh garis offset adalah -
0800, delapan jam lebih awal dari GMT.
 Perintah Req-HTTP. Untuk permintaan halaman WWW, bagian ini akan
selalu diawali dengan perintah GET.Pada contoh, permintaan tersebut adalah
GET.
 File-path dan nama file dari file yang diminta. Pada contoh, file path adalah
/PowerBuilder/Compny3.htm. Ada tiga jenis kombinasi path/filename.[9]
bWAPP
bWAPP adalah aplikasi web PHP / MySQL yang sangat rentan. Tujuan
utamanya adalah untuk membantu profesi bidang keamanan untuk menguji
keterampilan dan alat-alat yang dimiliki dalam lingkungan hukum, membantu
pengembang web lebih memahami proses mengamankan aplikasi web dan
membantu para siswa & guru untuk belajar tentang keamanan aplikasi web di kelas
yang terkontrol. Tujuan DVWA adalah untuk mempraktekkan beberapa kerentanan
web yang paling umum, dengan berbagai tingkat kesulitan, dengan antarmuka
sederhana yang sederhana. Namun, ada kerentanan baik didokumentasikan dan tidak

8
berdokumen dengan perangkat lunak ini. Sehingga dapat mendorong orang – orang
untuk mencoba dan menemukan sebanyak mungkin masalah.[10]
Computer Forensic

Komputer Forensik adalah salah satu cabang ilmu forensik yang berkaitan
dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.
Komputer forensik menjadi bidang ilmu baru yang mengawinkan dua bidang
keilmuan, hukum dan komputer.

Tujuan dari Komputer forensik adalah untuk menjabarkan keadaan kini dari
suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer,
media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen
elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan
paket yang berpindah dalam jaringan komputer. Penjelasan bisa sekadar "ada
informasi apa disini?" sampai serinci "apa urutan peristiwa yang menyebabkan
terjadinya situasi kini?".

Secara umum kebutuhan Komputer Forensik dapat digolongkan sebagai berikut:

 Keperluan investigasi tindak kriminal dan perkara pelanggaran hukum.

 Rekonstruksi duduk perkara insiden keamanan komputer.
 Upaya–upaya pemulihan akibat kerusakan sistem.
 Troubleshooting yang melibatkan hardware ataupun software.
 Keperluan memahami sistem ataupun berbagai perangkat digital dengan lebih
baik.

Ada empat fase dalam komputer forensik, antara lain

1. Pengumpulan data

Pengumpulan data bertujuan untuk mengidentifikasi berbagai sumber daya yang

dianggap penting dan bagaimana semua data dapat terhimpun dengan baik.

2. Pengujian

Pengujian mencakup proses penilaian dan meng-ekstrak berbagai informasi yang

relevan dari semua data yang dikumpulkan. Tahap ini juga mencakup bypassing
proses atau meminimalisasi berbagai feature sistem operasi dan aplikasi yang dapat
menghilangkan data, seperti kompresi, enkripsi, dan akses mekanisme kontrol.
Cakupan lainnya adalah mengalokasi file, mengekstrak file, pemeriksanan meta data,
dan lain sebagainya.

9
 3. Analisis

Analisis dapat dilakukan dengan menggunakan pendekatan sejumlah metode.

Untuk memberikan kesimpulan yang berkualitas harus didasarkan pada ketersediaan
sejumlah data atau bahkan sebaliknya, dengan menyimpulkan bahwa “tidak ada
kesimpulan”. Hal tersebut sangat dimungkinankan. Tugas analisis ini mencakup
berbagai kegiatan, seperti identifikasi user atau orang di luar pengguna yang terlibat
secara tidak langsung, lokasi, perangkat, kejadiaan, dan mempertimbangkan
bagaimana semua komponen tersebut saling terhubung hingga mendapat kesimpulan
akhir.

4. Dokumentasi dan laporan

Ada beberapa faktor yang mempengaruhi hasil dokumentasi dan laporan, seperti:

 Alternative Explanations (Penjelasan Alternatif): Berbagai penjelasan yang

akurat seharusnya dapat menjadi sebuah pertimbangan untuk diteruskan dalam
proses reporting. Seorang analis seharusnya mampu menggunakan sebuah
pendekatan berupa metode yang menyetujui atau menolak setiap penjelasan
sebuah perkara yang diajukan.

 Audience Consideration (Pertimbangan Penilik): Menghadirkan data atau

informasi keseluruh audience sangat berguna. Kasus yang melibatkan
sejumlah aturan sangat membutuhkan laporan secara spesifik berkenaan
dengan informasi yang dikumpulkan. Selain itu, dibutuhkan pula copy dari
setiap fakta (evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah
pertimbangan yang sangat beralasan. Contohnya, jika seorang Administrator
Sistem sebuah jaringan sangat memungkinkan untuk mendapatkan dan
melihat lebih dalam sebuah network traffic dengan informasi yang lebih detail.

 Actionable Information: Proses dokumentasi dan laporan mencakup pula

tentang identifikasi actionable information yang didapat dari kumpulan
sejumlah data terdahulu. Dengan bantuan data-data tersebut, Anda juga bisa
mendapatkan dan mengambil berbagai informasi terbaru.

10
 Imaging

Pada tahapan ini, barang bukti elektronik seperti komputer, diambil harddisk-
nya yang berfungsi sebagai media penyimpanan untuk selanjutnya dilakukan proses
akuisisi. Sebelum dilakukan proses tersebut, komputer yang digunakan untuk
kegiatan tersebut harus sudah dilengkapi dengan write protect sebelumnya. Ini
dimaksudkan untuk menjaga keutuhan isi dari barang bukti, yaitu mencegah
terjadinya proses penulisan terhadap barang bukti elektronik. Diharapkan isi barang
bukti tidak mengalami perubahan sama sekali. Setelah itu dilanjutkan dengan proses
forensic imaging, yaitu menggandakan isi dari barang bukti harddisk tersebut secara
physical (sektor per sektor, atau bit-stream copy) sehingga hasil imaging akan sama
persis dengan barang bukti secara physical. Derajat kesamaan ini dapat dipastikan
melalui proses hashing yang diterapkan pada keduanya. Jika nilai hash antara hasil
imaging dengan barang bukti adalah sama, maka dapat dipastikan bahwa keduanya
adalah identik dan hasil imaging bersifat forensik, yang artinya dapat
dipertanggungjawabkan secara ilmiah dan hukum, untuk selanjutnya hasil imaging
ini dapat digunakan untuk pemeriksaaan dan analisis lebih lanjut. Sebaliknya, jika
nilai hash antara keduanya berbeda, maka proses forensic imaging harus diulang
sampai mendapatkan nilai hash yang sama.

Proses hashing ini menggunakan banyak algoritma matematika yang

kompleks, namun yang paling sering digunakan untuk kegiatan digital forensik,
antara lain adalah MD5, SHA1 dan SHA256. Proses hashing ini juga dikenal dengan
istilah digital fingerprint (sidik jari digital), yang biasa digunakan untuk
membuktikan secara pasti apakah kedua file yang dipertanyakan adalah sama atau
berbeda.

Gambar 2. Aplikasi FTK Imager melakukan forensic imaging bit per bit dengan
menggunakan metode disk to image file
11
 Untuk proses forensic imaging, ada 2 (dua) metode, yaitu disk to disk (artinya
hasil imaging akan berupa harddisk), dan disk to file (artinya hasil imaging akan
berwujud image file) seperti pada Gambar II.6 di atas. Dari kedua metode ini, metode
yang kedua yang lebih sering digunakan oleh forensic analyst saat ini dikarenakan
metode kedua ini lebih fleksibel, efisien dan integrity dapat lebih terjamin.
Permasalahan menggunakan metode yang pertama adalah ketika kasus yang
diinvestigasi memiliki banyak harddisk yang harus di-imaging. Jika menggunakan
metode disk to disk, maka forensic analyst dan investigator harus menyediakan
banyak blank harddisk (harddisk kosong) sebagai target dari proses forensic imaging,
dan ini pada banyak kasus, sangat tidak fleksibel dan malah memperlambat
investigasi itu sendiri. Kalaupun mampu untuk menyediakan banyak blank harddisk
sebagai target dari imaging, itupun akan memakan banyak biaya lebih mahal dan
tidak efisien. Permasalahan yang kedua adalah integrity. Dikarenakan target forensic
imaging berupa harddisk, maka ada kemungkinan harddisk hasil imaging ini akan
rusak sektornya (bad sector) selama pemeriksaan, analisis atau penyimpanannya.
Bila hal ini terjadi maka nilai hash harddisk ini akan berubah dari nilai hash aslinya.
Ini akan menjadi masalah di kemudian hari untuk integrity isi dari harddisk barang
bukti.

Gambar 3. Hasil Imaging dengan menggunakan FTK Imager menunjukkan nilai hash
antara sumber dengan Image file

Setelah selesai proses forensic imaging yang menghasilkan image file, seperti
disinggung di atas, forensic analyst dan investigator harus mengecek terlebih dahulu
nilai hash MD5 dan SHA1 antara barang bukti media penyimpanan dengan image
file. Jika nilai dari keduanya adalah sama, maka itu artinya forensic imaging sukses,
sebaliknya jika tidak, maka proses forensic imaging harus diulangi. Setelah itu
(forensic imaging sukses) harddisk dari barang bukti komputer disimpan atau
12
dimasukkan kembali pada tempatnya, sedangkan image file-nya bisa digunakan untuk
tahapan pemeriksaan.

Analisis Registry

Di dalam sistem operasi Windows, terdapat suatu perorganisasian konfigurasi

sistem untuk satu atau lebih user, aplikasi-aplikasi dan hardware-hardware yang
mana konfigurasi tersebut terdiri dari database yang terstruktur (hierarchical). Sistem
pengorganisasian konfigurasi ini dikenal dengan istilah registry. Registry menyimpan
banyak informasi-informasi yang penting yang digunakan oleh sistem operasi dan
aplikasi-aplikasi untuk bagaimana mereka berjalan sesuai dengan setting yang dibuat
oleh seorang user.

Registry terdiri dari 5 sampai 7 root keys (kunci-kunci setting pada posisi root
directory) yang juga dikenal dengan istilah hives, atau dengan singkatan HKEY
(Handle to a KEY). Registry dengan HKEY-HKEY ini yang terdiri dari 4 elemen
yang terstruktur, yaitu registry keys, nama entry, tipe data dan nilai data. Elemen-
elemen ini dapat dilihat dengan aplikasi regedit (Registry Editor) seperti gambar di
bawah ini.

Registry keys Nama Entry Tipe Data Nilai Data

Gambar 4. Aplikasi Registry menampilkan elemen-elemen registry

Pada gambar di atas, dapat dilihat bahwa registry keys terdiri dari 5 root keys
yang berbeda, yaitu

13
 a. HKEY_CLASSES_ROOT (disingkat HKCR), berisikan informasi detil
tentang user interface (tampilan yang sesuai dengan setting dari user),
shortcuts (link-link ke aplikasi tertentu) dan aturan drag-and-drop. HKCR ini
merupakan alias dari HKLM\SOFTWARE\Classes.
b. HKEY_CURRENT_USER (HKCU), berisikan informasi yang sifatnya „user-
specific’ yang dimulai dari user log on dan dikonstruksi oleh informasi yang
ada di HKU. Infromasi-informasi ini terbagi dalam direktori-direktori subkeys
yang berbeda, antara lain AppEvents, Console, Control Panel, Environment,
EUDC, Identities, Keyboard Layout, Network, Printers, Software, System dan
Volatile Environment. HKCU ini merupakan alias dari salah satu user dari
HKU.
c. HKEY_LOCAL_MACHINE (HKLM), berisikan informasi yang sifatnya
“machine-specific‟ yang berkaitan dengan mesin di mana sistem operasi
sedang running (berjalan). Hal ini termasuk antara lain drives (media
penyimpanan) yang ter-mounting (diakses/dibuka), hardware-hardware dan
konfigurasi umum dari aplikasi-aplikasi yang ter-install. Informasi- informasi
tersebut terbagi dalam beberapa direktori subkeys, seperti HARDWARE,
SAM (Security Accounts Manager) yang menyimpan informasi mengenai
users dan groups, SECURITY, SOFTWARE dan SYSTEM.
d. HKEY_USERS (HKU), berisikan informasi tentang semua user yang
memiliki account pada sistem operasi. Informasi-informasi ini antara lain
tentang konfigurasi aplikasi dan visual settings.
e. HKEY_CURRENT_CONFIG (HKCC), berisikan informasi tentang
konfigurasi sistem yang sedang berjalan. Informasi-informasi tersebut
tersimpan dalam direktori-direktori subkeys seperti Software dan System.
Beberapa data subkeys merupakan alias dari HKLM.

Dari penjelasan di atas, dapat dilihat bahwa sistem registry keys pada Windows
sebenarnya hanya terdiri dari 2 bagian yang penting, yaitu HKLM (Local machine)
dan HKU/HKCU (Users/Current Users). Untuk registry keys yang lain merupakan
alias (link) dari HKLM.

14
Autopsy

Autopsy Forensic Browser adalah sebuah antarmuka grafis untuk tool-tool di

dalam Sleuth Kit, yang memudahkan pengguna dalam melakukan investigasi. mereka
dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2,
Ext2/3). Autopsy menyediakan fungsi manajemen kasus, integritas gambar, pencarian
kata kunci, dan operasi lainnya. Autopsy menggunakan Perl untuk menjalankan
program-program Sleuth Kit dan mengubah hasilnya ke HTML, oleh karena itu,
pengguna Autopsy membutuhkan web client untuk mengakses fungsi- fungsinya.

Autopsy sebenarnya adalah sebuah mini web server dengan script CGI berbasis
perl. Autopsy menggunakan perl untuk menjalankan program-program sleuthkit dan
mengubah hasilnya ke HTML. Oleh karena itu, pengguna Autopsy membutuhkan
web client untuk mengakses fungsi-fungsi Autopsy. Selain sebagai user interface
sleuthkit, Autopsy menyediakan fungsi-fungsi administratif tambahan. Beberapa
fungsi tersebut adalah logging (mencatat tindakan / perintah sleuthkit yang telah
dijalankan), notes (mencatat keterangan tambahan yang diperoleh penyelidik), dan
report (mencatat hasil analisis).

Autopsy dirancang sebagai platform end-to-end dengan modul yang tersedia dari
pihak ketiga. Beberapa modul yang tersedia:

 Timeline Analysis – Menampilkan interface graphical event.

 Hash Filtering – Menandai file yang buruk dan mengabaikan yang baik.
 Keyword Search - pencarian kata kunci Indexed untuk menemukan file yang
relevan.
 Web Artifact – Mendapatkan history, bookmark, dan cookie dari Firefox,
Chrome, dan IE.
 Data Carving - Memulihkan file yang dihapus dari uncallocated space
menggunakan PhotoRec
 Multimedia - Ekstrak EXIF dari gambar dan menonton video.
 Indicators of Compromise - Scan komputer menggunakan STIX.

Sleuth Kit dan Autopsy memiliki banyak keunggulan, diantaranya adalah

kemampuan untuk proses analisis dari berbagai jenis file sistem yang berbeda. Selain
itu, karena merupakan sebuah tool open source, keduanya dapat dikembangkan
sesuai dengan kebutuhan masing-masing pengguna. Untuk keterangan lebih lanjut
tentang Sleuth Kit dan Autopsy, dapat dilihat di http://www.sleuthkit.org/.

15
 II. Simulasi Rekonstruksi Kejadian
Dalam proses simulasi rekonstruksi kejadian, terdapat 3 tahap. Antara lain,
tahap persiapan, dan simulasi.
2.1. Tahap Persiapan
Pada tahap ini langkah – langkah yang akan dilakukan adalah memahami
kronologis kejadian. Dengan begitu akan lebih mudah dalam menentukan prosedur,
tool yang digunakan dan implementasi.
Sesuai dengan kronologis kejadian pada bab 2, telah disebutkan bahwa pelaku
menggunakan google dork untuk menemukan kerentanan website di internet. Setelah
mengetahui kerentanan website tersebut, maka pelaku mencari media pendukung,
dalam kasus ini file shell backdoor yaitu file yang berekstensi .phtml. Setelah
mengupload file tersebut ke bagian form pengaduan dari website, pelaku dapat
membuka database dari website sehingga bisa melakukan pergantian nama index.php
menjadi indexasli.php, dan mengupload index.html sebagai tampilan beranda hasil
defacement.
Berdasarkan uraian di atas, maka dapat ditentukan file yang dibutuhkan yaitu,
file backdoor, file tampilan beranda setelah defacement. Kemudian media yang
dibutuhkan yaitu website yang akan dilakukan defacement. Namun pada simulasi ini,
tidak akan menggunakan google dork, karena google dork akan berfungsi pada
website yang telah di hosting dan ada pada database google. Jika dilakukan hal
tersebut maka sama saja melakukan tindak kejahatan. Utnuk itu, website yang
digunakan merupakan bWAPP yaitu sebuah website php yang dijalankan melalui
XAMPP server. Pemilihan website bWAPP dikarenakan website tersebut memang
legal untuk dilakukan penyerangan dan mendukung file upload vulneralbility.
Kemudian untuk file backdoor akan digunakan c99shell.php, yaitu sebuah file yang
ketika akses akan menuju halaman database dari website. Penggunaan file backdoor
ini disesuaikan dengan kemampuan file backdoor yang digunakan pada kasus
sebenarnya. Kemudian file untuk tampilan beranda, dibuat sesuai dengan tampilan
hasil defacement yang sebenarnya. Berikut tampilan beranda hasil defacement sesuai
dengan kasus yang sebenarnya.

2.2. Tahap Simulasi

Pada tahap ini akan dilakukan rekonstruksi sesuai dengan yang telah
ditentukan pada tahap persiapan.

16
 Gambar 5. Tampilan XAMPP setelah Apache dan MySQL dijalankan

Apache merupakan website server yang digunakan untuk menjalankan

website. Dapat dilihat website akan dijalankan dengan konfigurasi ip localhost dan
port 80 atau 443. Kemudian MySql digunakan untuk database dari website, seperti
gambar, file akan disimpan pada database tersebut.
Kemudian berikut tampilan localhost:80 ketika dijalankan melalui web
browser.

Gambar 6. Tampilan dari dashboard website dari apache server

17
 Selanjutnya berkas dari bWAPP akan ditambahkan ke direktori XAMPP. File
bWAPP dapat ditambahkan pada folder /xampp/htdocs seperti gambar dibawah

Gambar 7. Tampilan isi direktori dari xampp

Setelah ditambahkan ke direktori, sekarang website bWAPP dapat digunakan.
Berikut tampilan dari beranda bWAPP.

Gambar 8. Tampilan beranda website bWAPP

Untuk menggunakan website tersebut, diperlukan login terlebih dahulu

dengan user menggunakan bee, dan password adalah bug. Pada website ini
menyediakan beragam jenis kerentanan dari website. Kemudian dipilih file upload
yang sesuai dengan kasus ini. Pada website ini terdapat 4 level kesulitan yaitu low,
medium, high, dan impossible. Pada rekonstruksi kali ini akan digunakan level low.
Kemudian dipilih menu file upload. Sehingga tampilannya sebagai berikut.

18
 Gambar 9. Tampilan halaman file upload pada website bWAPP
Selanjutnya akan melakukan upload file backdoor dalam hal ini
c99shell10.php. Dan setelah itu, masuk ke halaamn file tersebut melalui browser.
Ketika menggunakan file upload, maka file hasil upload akan masuk ke direktori
/bWAPP/bWAPPimages/. Untuk membuka file backdoor tersebut maka masuk
melalui URL localhost:80/bWAPP/bWAPP/images/c99shell10.php. Dan tampilan
akan berubah seperti gambar dibawah.

Gambar 10. Tampilan ketika c99shell.php dibuka melalui browser

Pada gambar di atas, dapat dilihat bahwa dengan file backdoor tersebut
berhasil masuk ke dalam file system website. Direktori yang tertera adalah direktori

19
dimana file backdoor diuplod yaitu di /bWAPP/bWAPP/images/. Untuk menuju ke halaman
direktori utama dari website yaitu /bWAPP/bWAPP/ maka dilakukan back ke parent
direktorinya. Berikut merupakan parent direktori dari website.

Gambar 11. Tampilan isi direktori dari /bWAPP/bWAPP/ dibuka melalui browser
Pada gambar di atas dapat dilihat terdapat file index.php, yaitu file yang digunakan
untuk konfigurasi tampilan beranda website. Kemudian file tersebut dapat diedit sesuai
dengan hasil defacement pada kasus ini.

Gambar 12. Tampilan halaman edit file index.php ketika c99shell.php dibuka melalui browser

20
 Pada tahap persiapan telah ditentukan file index.php yang baru yang berisi
tampilan hasil defacement. Seperti gambar dibawah.

Gambar 13. Kode index.php yang baru untuk tampilan ketika defacing
Setelah itu, kode index.php pada website tersebut akan diganti dengan file index.php yang
sudah dibuat. Sehingga ketika masuk ke localhost:80/bWAPP/bWAPP/ maka tampilan akan
menjadi seperti berikut.

Gambar 14. Tampilan beranda website bWAPP setelah dilakukan defacing

Berdasarkan gambar di atas, website telah berhasil di defacing.

21
2.3. Rekonstruksi Akses Storage Komputer
Seleksi Folder Sisi Penyerang
Pada umumnya proses forensik dilakukan terhadap semua isi hardisk. Hal tersebut
sangat memakan waktu dan membutuhkan hardisk internal untuk proses pengujian. Maka
dari itu pada simulasi ini diambil folder yang akan diuji untuk
kemudian dimasukkan padaflashdisk. Flashdisk yang digunakan adalah dengan kapasitas
memori 14,9 GB. Bagian yang akan dilakukan pengujian adalah:
 Folder Registry
 Folder penyimpan data web browser
 isi drive yang berisi file-file rogue.

Direktori folder registry berbeda-beda untu setiap sistem operasi. Pada simulasi ini
digunakan sistem operasi Windows 10. Registry untuk windows 10 dapat ditemukan
pada direktori C:\Windows\System32\config dan C:\User\<username>\NTUSER.DAT. Pada
alamat C:\Windows \System32\config berisi registry yang berisi bagian HKLM (Local
Machine). Sedangkan alamat C:\User\<username>\NTUSER.DAT berisi registry yang
berhubungan dengan user tertentu (HKCU). File-file hive yang berada pada alamat tersebut
merupakan file sistem sehingga ketika menyalin folder tersebut akan muncul peringatan
seperti pada gambar dibawah. Untuk mengatasi hal tersebut maka perlu digunakan tools yang
dapat menyalin file yang sedang dibuka di System. Beberapa tools yang dapat digunakan
diantaranya adalah ShadowCopy, HoboCopy, ShadowSpawn, atau OSForensics.

Gambar 15. File menunjukkan tidak bisa disalin karena terbuka pada
sistem
Bagian web browser data berisi data-data terkait history penggunaan web browser.
Pada simulasi ini digunaka web browser Google Chrome sehingga direktori untuk
mendapatkan history penggunaan web rowser tersebut adalah
C:\Users\[Username]\AppData\Local\Google\Chrome\User Data \Default. Beberapa file pada
direktori ini ketika disalin akan menampakkan peringaan seperti pada gambar diatas,
maka digunakan tools yang sama untuk menyalin folder tersebut ke

22
flashdisk. Sedangkan file-file rogue dimasukkan pada suatu folder tersendiri diantara
beberapa file normal yang tidak mencurigakan. Pada simulasi kali ini digunakan folder
beserta keterangannya sebagai berikut:
Tabel 1. Daftar folder untuk simulasi computer forensik pada sisi penyerang

Nama  Content  Direktori  Metode Salin 

Folder 

Config  Data Registry  C:\Windows\System32\config Menggunakan

OSForensic
C:\User\<username>\NTUSER.DAT

Default  Data web browser  C:\Users\[Username]\AppData\Local\ Menggunakan

Google\Chrome\User Data \Default OSForensic

SI  File‐file rogue dan  D:\SI  Langsung Copy 

beberapa file/folder 
normal. (Representasi isi 
disk secara keseluruhan) 

Penghapusan Folder dan File Sisi Penyerang

Untuk keperluan simulasi maka dimisalkan bahwa tersangka menghapus file- file rogue
dan melakukan uninstall we browser. Maka dari itu, folder Default dihapus dan begitu pula
file rogue. Isi disk yang akan diuji secara logical hanya akan menampakan folder config dan
folder SI tanpa isi file-file rogue yag dimaksud. Isi dari flashdisk yang akan diuji adalah
sebagai berikut:

Gambar 15. Isi Flashdisk yang akan diuji

Seleksi Folder Sisi Korban
Pada umumnya proses forensik dilakukan terhadap semua isi hardisk. Hal tersebut sangat
memakan waktu dan membutuhkan hardisk internal untuk proses pengujian. Maka dari itu
pada simulasi ini diambil folder yang akan diuji untuk kemudian dimasukkan pada flashdisk.
Flashdisk yang digunakan adalah Sandisk Cruzer Glide USB Device dengan kapasitas
memori 14,9 GB. Bagian yang akan dilakukan pengujian adalah folder XAMPP. Folder ini
berisi data-data terkait log admin.

23
 III. Tahap Forensik dan Analisis

Pada bab ini akan dibahas mengenai forensik yang akan dilakukan untuk mendapatkan
barang bukti. Forensik yang akan dilakukan yaitu pada dua sisi. Yang pertama adalah sisi
penyerang, dimana akan dilakukan forensic pada laptop / pc yang digunakan untuk
melakukan defacement. Dengan computer forensic, maka akan mendapatkan barang bukti
berupa file backdoor, file untuk tampilan beranda hasil defacement dan browser log dari
browser pelaku. Yang kedua yaitu dari sisi korban. Pada kasus ini, korban adalah website,
karena kejahatan dilakukan melalui website dengan file upload vulneralbility, maka dapat
dilakukan computer forensic berupa melihat direktori dari website apakah benar terdapat file
hasil upload serta melihat website log. Pada tahap forensik hanya dijelaskan bagaimana
melakukan tahap tahap untuk mendapatkan barang bukti, untuk analisis dari hasil forensik
maka akan dijelaskan pada bagian analisis.
3.1. Tahap Forensik
Website Log
Pada tahap forensik website log, langkah – langkah yang akan dilakukan seperti beikut.
 Imaging pada direktori website.
 Melalui file yang telah diexporsaat melakukan imaging, selanjutnya mencari
direktori dimana file .log berada, jika pada apache server terletak di direktori
/apache/logs/.
 Membuka aplikasi apache log viewer, dan pilih menu file dan add access log,
dari menu tersebut dipilih format log yang akan ditampilkan dan rentang waktu yang
dipilih.
 Kemudian akan terbuka jendela file tersebut. Untuk dijadikan barang bukti dapat
dilakukan xxport file ke txt,csv,html, dan log.
 Kemudian untuk keperluan analisis dapat melalui jendela aplikasi atau melalui hasil
export dari file .log tersebut.

24
Computer Forensic untuk Sisi Penyerang
 Testing Environment
Untuk melakukan computer forensic, maka testing environment yang
digunakan sebagai berikut.
o Windows 10 64 bit Operating System
o Google Chrome
o RegViewer
o Autopsy
 Imaging Drive Barang Bukti
Prosedur pertama yang dilakukan adalah menggunakan write blocker supaya tidak
terdapat proses write ke data Flashdisk yang akan diuji. Adapun write blocker yang
digunakan adalah USB Write Blocker All Windows dengan tampilan awal sebagai berikut:

Gambar 16. Tampilan awal software Write Blocker

Berdasarkan petunjuk yang ada tertulis bahwa untuk mengaktifkan write blocker maka
ketik angka 1 lalu enter. Selanjutnya akan muncul tampilan command prompt yang akan
menyatakan bahwa write blocker telah sukses diterapkan.

Gambar 17. Write Blocker telah diaktifkan

Setelah write blocker difungsikan, langkah selanjutnya adalah melakukan imaging
menggunakan FTK Imager.

25
 Gambar 18. Proses Create Image
Pada simulasi ini digunakan input berupa physical file dari flashdisk model SanDisk
Cruzer Glide USB Device dengan Destination Image Type berupa file E01. Hasil
dari proses imaging dapat diamati berdasarkan keterangan dibawah.
Created By AccessData® FTK® Imager 3.1.4.8

Case Information:
Acquired using: ADI3.1.4.8
Case Number: case 1
Evidence Number: evidence 1
Unique description: Isi Drive 1 (config & rogue file)
Examiner: Hasbi Asshidiq
Notes: berisi folder config & rogue file

--------------------------------------------------------------

Information for D:\examination\Defacing:

Physical Evidentiary Item (Source) Information:

[Device Info]

26
Source Type: Physical
[Drive Geometry]
Cylinders: 1.945
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 31.260.672
[Physical Drive Information]
Drive Model: SanDisk Cruzer Glide USB Device
Drive Serial Number: 4C530001161122103325
Drive Interface Type: USB
Removable drive: True
Source data size: 15264 MB
Sector count: 31260672
[Computed Hashes]
MD5 checksum: 7f6575b7893c41865a0fe10487990373
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b

Image Information:
Acquisition started: Sun Apr 15 16:16:39 2018
Acquisition finished: Sun Apr 15 16:26:52 2018
Segment list:
D:\examination\Defacing.E01
D:\examination\Defacing.E02
D:\examination\Defacing.E03
D:\examination\Defacing.E04
D:\examination\Defacing.E05
D:\examination\Defacing.E06
D:\examination\Defacing.E07
D:\examination\Defacing.E08
D:\examination\Defacing.E0

27
 D:\examination\Defacing.E10

Image Verification Results:

Verification started: Sun Apr 15 16:26:54 2018
Verification finished: Sun Apr 15 16:30:45 2018
MD5 checksum: 7f6575b7893c41865a0fe10487990373 : verified
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b : verified

Pada bagian terakhir dapat diketahui bahwa hashing hasil image verification telah
terverifikasi. Hal tersebut mengindikasikan bahwa MD5 checksum dan SHA1 checksum pada
image verification results sama seperti MD5 checksum dan SHA1 checksum pada Computed
Hashes. Hasil imaging dapat dilihat pada bagian segment list yaitu file Defacing.E01 sampai
Defacing.E10 pada direktori D:\examination\.

 Export File

Langkah selanjutnya adalah menambahkan evidence item dengan cara pilih File -> Add
Evidence Item. Selanjutnya pilih tipe file yang akan ditambahkan sebagai evidence. Pilih tipe
imaging file dan pilih Defacing.E01. Setelah dilakukan pengamatan, folder yang sebelumnya
dihapus yaitu folder Default ternyata mampu direcover oleh FTK Imager. Hal tersebut dapat
diamati berdasarkan gambar dibawah ini, dimana terdapat tanda silang merah pada folder
maupun file.

Gambar 19. Deleted folder yang direcover

Dengan begitu, file rogue yang terhapus pada folder SI juga akan terecover. Folder
Default selanjutnya dieksport untuk dilakukan pengujian lebih lanjut, begitu juga untuk folder
config dan SI. Selanjutnya folder-folder hasil pada evidence tersebut dieksport kedalam suatu
folder karena beberap pengujian memerlukan format file yang seperti aslinya (bukan file
imaging). Proses export dapat dilakukan dengan melakukan klik kanan pada folder yang akan

28
dieksport lalu pilih Export File. Selanjutnya pilih destinasi tempat file hasil eksport tadi akan
ditempatkan.

Gambar 20. Proses export file

Computer Forensic untuk Sisi Korban (server)

 Imaging
Imaging dilakukan dengan menggunakan AccessData FTK Imager. Setelah
dilakukan proses imaging didapatkan hasil sebagai berikut :
Created By AccessData® FTK® Imager 3.1.4.8

Case Information:
Acquired using: ADI3.1.4.8
Case Number: 1
Evidence Number: 2
Unique description: Log Admin
Examiner: Hasbi Asshidiq
Notes: hasil imaging data log admin

--------------------------------------------------------------

29
Information for D:\examination\Log Admin:

Physical Evidentiary Item (Source) Information:

[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 1.945
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 31.260.672
[Physical Drive Information]
Drive Model: SanDisk Cruzer Glide USB Device
Drive Serial Number: 4C530001161122103325
Drive Interface Type: USB
Removable drive: True
Source data size: 15264 MB
Sector count: 31260672
[Computed Hashes]
MD5 checksum: f00622e5c752b3ab0a8b6bede287de40
SHA1 checksum: deaaad6b60292ef3ff31fd0b88dfa6429566241c

Image Information:
Acquisition started: Sun Apr 22 10:27:15 2018
Acquisition finished: Sun Apr 22 10:37:14 2018
Segment list:
D:\examination\Log Admin.E01
D:\examination\Log Admin.E02
D:\examination\Log Admin.E03
D:\examination\Log Admin.E04

30
 D:\examination\Log Admin.E05
D:\examination\Log Admin.E06
D:\examination\Log Admin.E07
D:\examination\Log Admin.E08
D:\examination\Log Admin.E09
D:\examination\Log Admin.E10

Image Verification Results:

Verification started: Sun Apr 22 10:37:17 2018
Verification finished: Sun Apr 22 10:41:15 2018
MD5 checksum: f00622e5c752b3ab0a8b6bede287de40 : verified
SHA1 checksum: deaaad6b60292ef3ff31fd0b88dfa6429566241c : verified

Setelah didapatkan file image maka selanjutnya dilakukan proses eksport terhadap
semua isi dari folder XAMPP. Proses ini dilakukan dengan menggunakan
AccessData FTK Imager. Nantinya file hasil eksport ini akan dianalisis lebih lanjut
dalam bagian analisis Log Admin menggunakan apache log viewer.

3.2. Analisis
Analisis Website Log
Seperti yang telah dijelaskan pada bab 2, bahwa website log merupakan file
yang dihasilkan oleh web server untuk merekam aktivitas di web server. Dengan
begitu, dapat dilakukan pemeriksaan ketika terjadi perubahan file, memeriksa apakah
ada malicious file yang tertanam pada web server, ataupun memeriksa isi database
jika terdapat sesuatu yang berbahaya. Sesuai dengan website server yang digunakan
pada tahap rekonstruksi kejadian yaitu apache server. Apache server pada dasarnya
memiliki 2 log file yaitu access log dan error log. Access log berisi semua request
yang telah diproses oleh apache. Biasanya lokasi file ini secara default berada pada
/apache/logs/access.log. Kemudian error log berisi informasi diagnostik dan pesan
kesalahan yang ditemukan saat memproses suatu request di apache server. Biasanya
lokasi file ini secara default berada di /apache/logs/error.log. Untuk memeriksa log
file tersebut digunakan apache log viewer untuk memudahkan dalam melakukan

31
filter yang diinginkan ataupun memudahkan dalam melihat isi dari log file tersebut.
Berikut merupakan tampilan apache logs viewer.

Gambar 21. Tampilan Apache Log Viewer ketika pertama kali dibuka
Setelah itu, akan dibuka file access.log website yang telah dilakukan defacing.
Saat menambahkan access.log untuk dilihat, maka terdapat pilihan format untuk
menampilkan log serta rentang waktu yang dinginkan. Pada apache log viewer
terdapat 3 format yaitu, common log format, combined log format, dan W3C logs.
Common log format terdiri dari informasi yang dibutuhkan untuk mengidentifikasi
host dan request. Tampilan seperti pada gambar. Sedangkan combined log format
mengandung informasi yang tersedia pada common log format tetapi juga termasuk
informasi berupa previous webpage serta browser dari klien seperti pada
gambar .W3C logs merupakan format standar yang digunakan oleh Microsoft
Internet Information Services IIS seperti pada gambar.

32
 Gambar 22. Format common log format

Gambar 23.Format combined log format

Gambar 24. Format W3C log

Gambar 25.Tampilan access.log website bWAPP yang dibuka pada jendela Apache
Logs Viewer
Pada kasus ini, data yang akan dianalisis dalam format combined log format.
Yang terdiri dari IP Address, date, request, status, size, country, referrer, user agent.
 IP Address, jika dilihat dari log file, maka IP Address yang tertera adalah
::1. ::1 merupakan format ipv6 untuk 127.0.0.1. Hal ini dikarenakan pada
file konfigurasi untuk website bWAPP memang website di hosting ke
localhost. Dan akses ke website yang akan diserang melalui localhost,
sehingga ip address yang muncul yaitu ip address 127.0.0.1. Dengan adanya
ip address maka akan memudahkan untuk mencari tahu ip berapa saja yang
membuka / mengakses website.
 Date, merupakan rentetan waktu dimana website tersebut dibuka. Sehingga
akan lebih mudah untuk melihat kapan saja website dibuka / diakses.
 Request, pada log file website hanya ada 2 request yaitu GET dan POST.
GET dan POST merupakan cara yang digunakan untuk mengirimkan data
dalam HTTP request. Jika melalui URL, sesuai dengan parameter yang
diberikan maka menggunakan GET. Namun jika melalui entity body dalam
HTTP request maka menggunakan POST.
 Kemudian, status. Status ini mengindikasikan status request. Terdapat
beberapa status seperti gambar dibawah.
Tabel 2. Respon status pada log file
Respon Status Arti
200 OK
206 Partial Content
301 Moved Permanently

33
 302 Found (request has been re-directed)
304 Not Modified
401 Unauthorized
403 Forbidden
404 Not Found

Setelah mengetahui beberapa indikator, maka mulai analisis isi dari file log.
Dapat dilihat pada tanggal 18/04/2018 pukul 22.28.19, terdapat request GET pada
index.php. Hal ini berarti, terdapat tindakan membuka website bWAPP. Biasnya
developer website akan menamai file index atau home yang mengindikasikan bahwa
file yang digunakan untuk konfigurasi halaman utama atau beranda dari website.
Kemudian dapat dilihat juga status dari HTTP response adalah 200 yang berarti
sukses atau berhasil masuk ke URL tersebut. Kemudian pada tanggal 18/04/2018
pukul 22.28.19 terdapat request GET pada portal.php, dan status dari HTTP response
adalah 302, yang mengindikasikan bahwa setiap masuk ke halaman utama dari
website bWAPP akan langsung dialihkan ke halaman portal.php. Kemudian dapat
dilihat setiap terdapat HTTP request terdapat HTTP/1.1 yang berarti cara koneksi
antara client dengan server menggunakan protokol versi 1.1 artinya setiap melakukan
HTTP request tidak perlu membuat koneksi baru atau secara kolektif, versi lain yang
ada yaitu 1.0 artinya bahwa setiap akan request harus membuat koneksi baru lagi.
Dapat dilihat pada gambar dibawah.

Gambar 26. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selanjutnya pada tanggal 18/04/2018 pada pukul 22.32.11, terdapat request
GET pada unrestricted_file_upload.php, yang berarti terdapat tindakan membuka
halaman website yang digunakan untuk tempat uplod file, dapat dilihat juga bahwa
status nya juga berhasil masuk yaitu 200. Setelah itu, pada tanggal 18/04/2018 pada
pukul 22.32.28 terdapat request POST pada unrestricted_file_upload.php yang berarti
terdapat tindakan melakukan upload file. Biasanya developer website, sekarang ini
banyak yang menggunakan metode POST untuk mengupload file ke website. Metode
GET dapat juga digunakan untuk melakukan upload file, namun tidak praktis, dan
membutuhkan waktu yang lama. Terdapat 3 tindakan yang sama secara berturut –
turut yaitu pada pukul 22.34.34 dan 22.35.19, yang berarti melakukan 3 kali upload
file dan semuanya berhasil diupload karena HTTP response menunjukkan status 200.
34
Setelah itu, pada tanggal 18/04/2018 pada pukul 22.35.22, terdapat request GET pada
file c99shell10.php, yang berarti terdapat tindakan masuk ke halaman. Php tersebut
dan berhasil masuk. Selanjutnya pada tanggal 18/04/2018 pada pukul 22.36.23,
terdapat request GET. Berdasarkan request tersebut, dapat diartikan bahwa act=ls
merupakan aksi masuk ke dalam direktori, dan d= merupakan direktori yang
dituju/dibuka. Ini berarti ketika masuk ke file c99shell10.php, terdapat tindakan
masuk ke file system dari website, namun direktori yang terbuka belum masuk ke
direktori utama dari website, melainkan direktori ketika melakukan upload file. Hal
ini dapat dilihat dari isi request pada d=. Selain itu, dapat disimpulkan juga bahwa
c99shell10.php merupakan file backdoor yang digunakan oleh pelaku. Pada tanggal
18/04/2018 pada pukul 22.37.18, terdapat request GET dengan act=f&f=index.php
yang berarti melakukan aksi pada file index.php, dan terdapat ft=edit yang artinya
masuk ke menu edit pada file tersebut, file tersebut berada pada direktori yang dapat
dilihat melalui d=. Disini, pelaku melakukan editing file
index.php dengan file yang sudah dibuat sebelumnya yang digunakan untuk defacing
website bWAPP. Dapat dilihat pada gambar dibawah.

Gambar 27. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selanjutnya, pada tanggal 18/04/2018 pada pukul 22.42.40, terdapat request
GET pada index.php. Hal ini mengindikasikan bahwa pelaku setelah mengganti isi
dari file index.php, akan melakukan pengecekan apakah penggantian isi tersebut
berhasil melalui membuka halaman index.php tersebut. Dapat dilihat pada gambar
dibawah.

Gambar 28. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selain informasi mengenai IP, HTTP Request, dan HTTP Response yang dapat
dianalisis adalah referral dan user agent. Dapat dilihat pada gambar dibawah.

35
 Gambar 29. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Dapat dilihat bahwa terdapat, referral menunjukkan alamat URL yang sebelumnya
diakses. Seperti contoh ketika masuk ke halaman unrestricted_file_upload.php,
referral nya adalah halamn portal.php, yang berarti sebelum masuk ke halam
unrestricted_file_upload.php, akses yang dilakukan sebelumnya adalah halaman
portal.php. Kemudian user agent, melalui user agent informasi yang dapat diperoleh
adalah browser yang digunakan untuk mengakses halaman website serta operating
system dimana browser tersebut dijalankan. Pada gambar di atas, user agent nya
adalah Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36. Mozilla/5.0 merupakan
rendering engine yang digunakan oleh chrome. Umumnya rendering engine untuk
broswer tergantung dari developer browser nya, seperti contoh opera menggunakan
rendering engine chromium. Selanjutnya (Windows NT 10.0; Win64; x64),
memberikan informasi bahwa operating system untuk menjalankan browser tersebut
adalah windows 10 64 bit. Sedangkan AppleWebKit/537.36 merupakan platform
untuk browser, (KHTML, like Gecko) merupakan detail dari browser platform.
Kemudian Chrome/65.0.3325.181 Safari/537.36 merupakan inforamsi browser yang
digunakan yaitu chrome dengan main version 65.

Analisis Computer Forensic pada Sisi Korban

 Cek Tanggal File Defacing pada sisi Admin
Tersangka menggunakan sebuah file shell untuk mengakses backdoor situs web. File
shell yang terdeteksi pada admin yaitu c99shell10.php. Tanggal modifikasi file yang
digunakan oleh penyerang pada sisi admin dapat diamati pada hasil image dengan
menggunakan Access Data FTK Imager. Pengeceka cukup menggunakan AccessData
FTK Imager karena secara pasti admin akan langsung memberi tahu lokasi dimana
file berada sehingga tidak perlu dilakukan pencarian keyword (seperti di Autopsy)
terhadap file tersebut. Pada AccessData FTK Imager didapatkan data seperti pada
gambar berikut:

36
 Gambar 30. C99shell10.php pada image data log admin

Berdasarkan data tersebut dapat diketahui bahwa file C99shell10.php yang

digunakan penyerang untuk melakukan akses backdoor terdapat pada direktori
htdocs/bWAPP/bWAPP/ images. Informasi lain yang didapatkan adalah waktu
modifikasi file yaitu pada tanggal 18 April 2018 pukul 15:35:19. Selain file shell
backdoor dapat juga dilihat pada file index.php, atau file baru yang sebelumnya
belum ada atau yang memiliki tanggal paling update, atau yang sesuai dengan waktu
dimana terjadi defacement.

 Verifikasi Barang Bukti

Setelah dilakukan analisis, maka proses selanjutnya adalah melakukan verifikasi

dengan menggunakan AccessData AccessData FTK Imager. Proses verifikasi
dilakukan dengan mencocokkan nilai hash data imaging hasil analisis terhadap nilai
hash data imaging sebelum analisis (data imaging yang diserahkan sebagai barang
bukti diawal). Adapun hasil image yang dilakukan verifikasi adalah image data dari
sisi korban yaitu Log Admin.E01. Pada AccessData FTK Imager, rangkuman hasil
verifikasi dapat dilihat pada file txt yang berada satu direktori dengan image. Setelah
dilakukan verifikasi didapatkan data pada file txt sebagai berikut.

Data verifikasi pada Log Admin.E01

[Computed Hashes]
MD5 checksum: f00622e5c752b3ab0a8b6bede287de40
SHA1 checksum: deaaad6b60292ef3ff31fd0b88dfa6429566241c
Image Verification Results:
Verification started: Sun Apr 22 10:58:44 2018
Verification finished: Sun Apr 22 11:03:00 2018
MD5 checksum: f00622e5c752b3ab0a8b6bede287de40 : verified

37
SHA1 checksum: deaaad6b60292ef3ff31fd0b88dfa6429566241c : verified
Berdasarkan data verifikasi image tersebut dapat diketahui bahwa nilai hash hasil
verifikasi sama persis seperti nilai computed hash. Dari fakta tersebut maka dapat
disimpulkan bahwa tidak ada proses alterasi terhadap image selama proses analisis
berlangsung.

Analisis Computer Forensic pada Sisi Penyerang

 Analisis Registry

Langkah selanjutnya adalah melakukan analisis registry. Pada analisis ini

digunakan tools Registry Viewer yang dikembangkan oleh Werner Rumpeltesz. File
yang diuji pada analisis ini adalah file hive. Adapun file-file tersebut adalah file
SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT, NTUSER.DAT dan
userdiff. Adapun direktori registry yang digunakan adalah direktori folder config.
Folder config ini merupakan hasil eksport file imaging yang telah disebutkan pada
bagian sebelumnya. Adapun pengisian direktori pada RegViewer dapat dilihat pada
gambar berikut.

Gambar 31. Memasukkan alamat file hive untuk analisis registry

Dari proses analisis registry dapat diketahui beberapa informasi diantaranya

sebagai berikut:

a. Informasi Sistem Operasi

Untuk mendapatkan informasi sistem operasi pada komputer barang bukti

dapat dilihat pada alamat registry SOFTWARE\Microsoft\Windows
NT\CurrentVersion. Informasi yang didapat adalah sebagai dapat dilihat pada
gambar berikut.

38
 Gambar 32. beberapa informasi sistem operasi yang didapat

Berdasarkan gambar tersebut dapat diketahui bahwa install date dari OS

Windows 10 tersebut adalah 1517581582. Nilai tersebut terenkripsi, maka untuk
mengetahui data sebenarnya dapat digunakan decoder time online seperti pada
http://www.silisoftware.com. Hasil decoding tersebut menunjukkan bahwa waktu
instalasi sistem operasi dilakukan pada 2 Februari 2018.

Gambar 33. Hasil decoding online terhadap waktu instalasi OS

b. Last Shutdown

Selanjutnya adalah melakukan pengecekan registry untuk mendapatkan

informasi kapan terakhir kali komputer dimatikan. Informasi ini didapatkan dari
registry keys SYSTEM\ControlSet001\Windows\ShutdownTime.Informasi mengenai
waktu last shutdown dapat dilihat pada gambar seperti berikut :

39
 Gambar 34 Informasi terkait LastShutdown

Gambar 35 Hasil decoding waktu last shutdown

Berdasarkan gambar diatas dapat diketahui bahwa sesuai nama entry

ShutdownTime dan hasil decoding hex maka komputer terakhir dimatikan pada
tanggal 12 April 2018 pukul 19:27:15. Informasi tersebut berguna untuk meminta
keterangan hal apa saja yang dilakukan tersangka hingga komputer tersebut
dimatikan.

c. File-file terkini yang diakses

Analisis registry juga dapat dilakukan dengan mencari file terkini yang diakses.
Adapun alamat file tersebut berada pada HKCU\Software\Microsoft\Windows\
CurrentVersion\Explorer\RecentDocs. Pada simulasi ini didapatkan suatu registry
value yang menyatakan bahwa suatu file yang bersangkutan dengan web defacing
telah diakses. Hal tersebut dapat dilihat pada gambar berikut.

40
 Gambar 36. Pengamatan registry value dengan file terkini yang mencurigakan

Pada gambar tersebut didapatkan hasil pengamatan registry terhadap akses file
terkini dengan akses file yang mencurigakan. Pada bagian yang ditandai dengan
warna kuning didapatkan suatu file dengan judul Panduan-2-Web-Deface.pdf telah
diakses. Hal ini merupakan suatu bukti yang dapat digunakan untuk memperkuat
dugaan kasus defacing.

d. Aplikasi pada komputer

Aplikasi pada komputer juga perlu diperhatikan apakah terdapat suatu aplikasi
yang mencurigakan atau tidak. Untuk kasus defacing ini aplikasi utama yang menjadi
perantara adalah web browser. Pada HKCU\Software terdapat web browser Google
Chrome. Berdasarkan analisis logfile dari admin telah diketahui bahwa Google
Chrome merupakan web browser yang terbukti telah digunakan untuk melakukan
defacing. Maka dari itu Google Chrome ini nantinya akan diuji untuk dilakukan
pelacakan terhadap history pemakaiannya.

Selain mengamati aplikasi yang teramati pada komputer, pengecekan terhadap aplikasi
startup juga penting. Aplikasi startup terkadang digunakan pelaku kejahatan untuk
melakukan kejahatan bagi siapa saja yang dijadikan target olehnya. Beberapa aplikasi
startup seperti keylogger dapat dideteksi lewat alamat
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run maupun pada alamat
HKCU\software \Microsoft\Windows\ CurrentVersion\Run.

41
Pada simulasi kali ini kedua alamat tersebut tidak memberikan informasi mengena
aplikasi yang berbahaya. Beberapa aplikasi yang terdeteksi sebagai aplikasi startup
adalah OneDrive, uTorrent, Web Companion pada HKCU serta AvastUI, IAStorIcon,
RTHDVCPL, RtHDVBg_TrueHarmony, dan SecurityHealth pada HKLM. Aplikasi-
aplikasi tersebut tidak termasuk aplikasi yang berbahaya.

e. USB disk yang pernah terpasang

Hal ini berkaitan dengan media penyimpanan removable yang pernah

terpasang pada barang bukti komputer. Informasi ini penting dibutuhkan untuk
mengatasi kemungkinan bahwa tersangka melakukan penyimpanan file yang berisi
data kejahatannya pada media removable tersebut, bukan pada disk milik tersangka.
Proses selanjutnya dapat dilakukan dengan menanyakan terhadap tersangka tentang
removable media tersebut. Informasi mengenai usb disk tersebut dapat diketahui dari
registry keys SYSTEM\ControlSet001\Enum\UBSTOR. Gambar dibawah ini
menunjukkan flashdisk yang pernah terpasang pada komputer uji.

Gambar 37. USB disk yang pernah terpasang pada komputer uji

Selain informasi usb disk yang pernah terakses, dapat pula dicari informasi mengenai usb
disk yang pernah dimounting oleh sistem operasi. Informasi ini dapat ditemukan pada alamat
registry SYSTEM\MountedDevices. Adapun data tentang usb disk yang pernah dimounting
dapat dilihat pada gambar berikut :

42
 Tabel 3. USB Disk yang pernah dimounting oleh
sistem operasi komputer
disk yang termount pada sistem
TOSHIBA Prod TransMemory
Lenovo Prod USB Flash Drive 
JetFlash Prod Transcend 
Sandisk Prod Ultra 
Kingston Prod DataTraveler 
Sandisk Prod Cruzer Glide 
RSPER Prod RTS520SLUNO 

Berdasarkan analisis registry yang telah dilakukan tersebut dapat diambil beberapa
data sebagai sebagai berikut:

Tabel 4. Rangkuman Analisis Registry

Jenis Analisis Konten

Informasi Sistem Windows 10 Home Single Language diinstall pada tanggal

Operasi 2 Februari 2018.

Last ShutdownTime Komputer terakhir dimatikan pada tanggal 12 April 2018

pukul 19:27:15

File yang diakses Didapat informasi mengenai pengaksesan terhadap suatu

dokumen berformat pdf dengan judul “Panduan Web
Deface”.

Aplikasi Pada Terdapat aplikasi Google Chrome. Pada log admin terekam
Komputer aktifitas penyerang menggunakan web browser Google
Chrome.

Aplikasi startup yang terdeteksi tidak mencurigakan

USB disk yang pernah Disk&Ven Sandisk Prod Cruzer Glide

diakses Disk&Ven USB2 Prod Flash Disk.

USB disk yang pernah TOSHIBA Prod TransMemory

dimounting Lenovo Prod USB Flash Drive
JetFlash Prod Transcend
Sandisk Prod Ultra

43
 Kingston Prod DataTraveler
Sandisk Prod Cruzer Glide
RSPER Prod RTS520SLUNO

 Analisis menggunakan Autopsy

Proses analisis pada autopsy mampu mendapatkan berbagai informasi yang

sangat penting. Informasi ini berupa file-file beserta konten yang diekstrak dari
database yang diuji. Data source yang digunakan berupa file imaging yang telah
didapatkan sebelumnya yaitu file Defacing.E01. Pada simulasi kali ini didapatkan
beberapa informasi baik berupa file maupun extracted content yang dapat diamati
seperti pada gambar dibawah.

Gambar 38. File yang dapat didapatkan dari Autopsy

44
 Gambar 39. Extracted Content yang didapatkan dari Autopsy

Berdasarkan gambar diatas dapat diketahui berbagai jenis file mulai dari file
image, video, audio, archives, document dan executable. File yang telah terhapus
juga mampu direcover dan dimunculkan pada autopsy. Selanjutnya pada Autopsy
digunakan Keyword Search sebagai berikut:

 Website

Kata kunci ini untuk mencari apakah tersangka telah melakukan pengaksesan
alamat di internet. Hasil dari pencarian kata kunci ini adalah sebagai berikut:

Gambar 40 Web History Artifact dari pengaksesan situs di internet

Dari data tersebut didapatkan web history artifact yang menyatakan bahwa
tersangka telah mengakses situs di internet dengan waktu akses pada tanggal 15 April
2018. Beberapa informasi lain juga bisa didapatkan yaitu akses halaman utama di
internet pada tanggal tersebut dilakukan dua kali hal tersebut. Selain itu juga

45
didapatkan informasi mengenai halaman lain yang diakses seperti pengakesan
halaman pengaduan. Pada halaman inilah form pengaduan dapat diakses oleh
tersangka untuk mengupload file backdoor sehingga mendapatkan kontrol terhadap
situs. Berdasarkan data tersebut dapat diketahui bahwa pengaksesan formDate pada
halaman pengaduan dilakukan dua kali.

 Deface

kata kunci ini untuk mencari apakah tersangka telah melakukan pengaksesan alamat-
alamat situs yang memberikan tutorial atau bahan ajaran terkait defacing. Hasil dari
pencarian kata kunci ini adalah sebagai berikut:

Gambar 41. Hasil pencarian dari kata kunci Deface

Berdasarkan gambar tersebut didapatkan informasi bahwa beberap situs tutorial

tentang defacing telah diakses. Terdapat kata kunci yang menyatakan teraksesnya
tutorial seperti kata kunci “6 way to hack or deface websites online” serta “Cara
submit hasil deface di hack mirror”. Kata kunci tersebut cocok dengan dugaan yang
telah ditetapkan pada tersangka yaitu tersangka melakukan defacing dan
selanjutnya melakukan mirroring untuk mendapatkan bukti pengakuan.

46
  Index.html

Pencarian index.html dilakukan untuk mendapatkan barang bukti file

index.html yang digunakan untuk defacing situs. Hasil pencarian index.html adalah
sebagai berikut:

Gambar 42. Hasil pencarian dari kata kunci index.html

Pada gambar diatas didapatkan file index.html yang muncul. Namun Location
yang terdeteksi bukan sesuai pada pengesetan lokasi awal dimana index.html dan
index.phtml dihapus. Pada pengesetan lokasi awal diketahui bahwa index.html
dihapus dari direktori F:\SI yang apabila dilakukan imaging file akan menghasilkan
direktori /img_Defacing.E01/vol_vol2/SI. Maka dari itu dicoba untuk mencari file di
pada bagian Views -> Deleted Files -> All. Setelah didapatkan data file terhapus
maka selanjutnya dilakukan sorting berdasarkan nama supaya mudah untuk dicari.
Cara lainnya adalah dengan manaruh cursor pada nama file lalu ketik nama file yang
akan dicari, maka program akan menunjukkan ke tempat file yang dimaksudkan.
Hasil pencarian file index.html pada group deleted files adalah sebagai berikut :

47
 Gambar 43. index.html yang terdeteksi pada deleted files

Berdasarkan gambar diatas dapat diketahui bahwa index.html yang dimaksud

yaitu yang berada pada direktori anakan dari /img_Defacing.E01/vol_vol2/SI telah
didapat. Direktori secara detail terletak pada /img_Defacing.E01/vol_vol2/SI/project.
Maka dari dapat diketahui bahwa file index.html telah berhasil dideteksi. Untuk
mendapatkan file tersebut, dapat dilakukan klik kanan pada record lalu pilih Extract
file dan isi direktori dimana file tersebut akan disimpan.

 Index.phtml

Pencarian index.phtml dilakukan untuk mendapatkan barang bukti file

index.phtml yang digunakan untuk akses backdoor situs. Hasil pencarian index.phtml
adalah sebagai berikut :

Gambar 44. Hasil pencarian dari kata kunci index.phtml

Berdasarkan data tersebut didapatkan lokasi index.phtml yang sesuai seperti

pada pengaturan awal yaitu pada direktori /img_Defacing.E01/vol_vol2/SI lebih
tepatnya pada direktori /img_Defacing.E01 /vol_vol2/SI/project.

48
 Gambar 45 index.phtml yang terdeteksi pada deleted files

File index.phtml yang didapatkan pada deleted files ternyata sama seperti pada
pencarian kata kunci index.phtml. Hal tersebut menyatakan bahwa hanya satu file
index.phtml saja yang terdeteksi dan file tersebut merupakan file rogue yang
dimaksud.

Berikut adalah ringkasan dari jumlah pencarian kata kunci:

Gambar 46. Rangkuman jumlah kata kunci yang didapatkan pada sumber data

Data-data yang telah didapatkan berdasarkan kata kunci tadi selanjutnya diambil
beberapa saja yang penamaan filenya paling cocok dengan yang dimaksud. Hal ini
dilakukan dengan pengelompokan berdasarkan tag pada file yang dimaksud. Adapun
tag dibagi kedalam 4 jenis sesuai pencaria keyword yang telah dilakukan sebelumnya
yaitu tag Web Artifact Akses Website, Web Artifact Defacing, index.html, dan
index.phtml. Dari pengelompokan tag ini dapat digenerate suatu timeline kapan tag-
tag tersebut diakses Hasil generat timelin adalah sebagai berikut :

49
 Gambar 47. Rangkuman jumlah kata kunci yang
didapatkan pada sumber data
Berdasarkan gambar diatas diketahui bahwa keempat kata kunci tersebut terdeteksi
pada tanggal 15 April 2018. Hal ini sesuai dengan waktu simulasi dimana semua
proses dilakukan secara serentak pada satu hari yaitu pada tanggal tersebut.

 Verifikasi Barang Bukti

Setelah dilakukan analisa terhadap registry dan analisa menggunakan autopsy, maka
proses selanjutnya adalah melakukan verifikasi dengan menggunakan AccessData
FTK Imager. Proses verifikasi dilakukan dengan mencocokkan nilai hash data
imaging hasil analisis terhadap nilai hash data imaging sebelum analisis (data
imaging yang diserahkan sebagai barang bukti diawal). Adapun hasil image yang
dilakukan verifikasi adalah image data dari sisi penyerang yaitu file Defacing.E01.
Pada AccessData FTK Imager, rangkuman hasil verifikasi dapat dilihat pada file txt
yang berada satu direktori dengan image. Setelah dilakukan verifikasi didapatkan
data pada file txt sebagai berikut.

Data verifikasi pada Defacing.E01

[Computed Hashes]
MD5 checksum: 7f6575b7893c41865a0fe10487990373
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b
Image Verification Results:
Verification started: Sun Apr 15 21:51:11 2018

50
Verification finished: Sun Apr 15 21:55:32 2018
MD5 checksum: 7f6575b7893c41865a0fe10487990373 : verified
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b : verified

Berdasarkan data verifikasi image tersebut dapat diketahui bahwa nilai hash hasil
verifikasi sama persis seperti nilai computed hash. Dari fakta tersebut maka dapat
disimpulkan bahwa tidak ada proses alterasi terhadap image selama proses analisis
berlangsung.

Analisis Website Defacement

Pada analisis ini, lebih mengenai penyebab terjadinya web defacement secara umum
antara lain,
 Penggunaan free CMS dan open source tanpa adanya modification.
Keseluruhan konfigurasi menggunanakan default konfigurasi, akan
memudahkan para defacer untuk menemukan informasi file, directory, source,
database, user, connection, dsb. Bagi para blogger apalagi yang masih newbie
melakukan modifikasi konfigurasi engine blog bukanlah merupakan hal yang
mudah. Namun tak ada salahnya kita meluangkan waktu mencari berbagai
pedoman dan mungkin bisa juga dengan melakukan instalasi plugin untuk
keamanan wordpress seperti wp firewall, login lock down, stealth login, dan
plugin lainnya untuk keamanan blog.
 Tidak updatenya source atau tidak menggunakan versi terakhir dari CMS. Hal
ini sangat ini rentan, karena security issue terus berkembang seiring
masuknya laporan dan bugtrack terhadap source, kebanyakan hal inilah yang
menjadi sebab website mudah dideface. Oleh karena hal itu diputuskan untuk
melakukan upgrade pada blog.
 Tidak adanya ada research yang mendalam dan detail mengenai CMS
sebelum digunakan dan diimplementasikan. Sehingga pemahaman dan
pengetahuan dari webmaster hanya dari sisi administrasinya saja, tidak sampai
ke level pemahaman sourcecode.
 Tidak adanya audit trail atau log yang memberikan informasi lengkap
mengenai penambahan, pengurangan, perubahan, yang terjadi di website baik
source, file, directory, dsb. Sehingga kesulitan untuk menemukan,
memperbaiki dan menghapus backdoor yang sudah masuk di website.

51
 Jarang melakukan pengecekan terhadap security update, jarang mengunjungi
dan mengikuti perkembangan yang ada di situs-situs security jagad maya.
Sehingga website sudah keduluan di deface oleh sebelum dilakukan update
dan patch oleh webmaster.
 Kurangnya security awareness dari masing-masing personel webmaster
dan administrator. Sehingga kewaspadaan terhadap celah-celah keamanan
cukup minim, kadangkala setelah website terinstall dibiarkan begitu saja.
Kurangnya training dan kesadaraan akan keamanan website seperti ini akan
menjadikan website layaknya sebuah istana yang tak punya benteng.

52
 I.V. Kesimpulan

Kesimpulan
Berdasarkan simulasi, tahap forensik, dan analisis yang dilakukan dapat
disimpulkan bahwa.
 Tahap simulasi rekonstruksi kejadian telah menunjukkan hasil yang sesuai
yang diharapkan.
 Tahap simulasi rekonstruksi kejadian kurang mirip dengan kejadian
sebenarnya, karena untuk mengetahui apakah website mempunyai fasilitas
file upload harusnya menggunakan google dork.
 Dengan website log, dapat ditelusuri ip address yang mengakses ke website,
serta dapat mengetahui apa saja yang dilakukan oleh klien terhadap website
melalui request yang dilakukan oleh klien tersebut. Dengan begitu, website
log sangat penting jika ingin mengetahui apa saja yang telah terjadi terhadap
website.

 Berdasarkan hasil komputer forensik didapatkan beberapa bukti dari analisis

registry seperti Informasi sistem operasi yang terinstall, program-program
yang terinstall, file-file terkini yang diakess, usb disk yang pernah diakses,
dan setup log. Informasi-informasi tersebut sangat penting untuk proses
investigasi lebih lanjut.

 Berdasarkan analisis menggunakan software autopsy didapatkan beberapa

informasi mengenai berbagai riwayat terkait web browser yang diakses oleh
pengguna. Selain itu pada software autopsy juga dilakukan pencarian terhadap
file-file yang mencurigakan seperti index.html dan index.phtml. Darisitu
didapatkan fakta bahwa file tersebut masih dapat dideteksi dan direcover
walaupun telah dihapus oleh pengguna.

53
 DAFTAR PUSTAKA

[1] The Common Vulnerabilities and Exposures Dictionary.http://cve.mitre.org/,

(diakses pada tanggal 15 Mei 2018 pukul 11.00).
[2] Panduan Penanganan Insiden Website Defacement, BPPT CISRT, 2014.
[3] Jialong Zhang, Jayant Notani, and Guofei Gu. “Characterizing Google Hacking: A
First Large-Scale Quantitative Study”, 2014.
[4] Neeta Niraula, “Web Log Data Analysis: Converting Unstructured Web Log Data
into Structured Data Using Apache Pig”, St. Cloud State University theRepository at
St. Cloud State, 2017.
[5] Mislav Simunic, Zeljko Hutinski, Mirko Cubrilo, “LOG FILE ANALYSIS AND
CREATION OF MORE INTELLIGENT WEB SITES”, 2012.
[6] Corona, HMM-Web: “A Framework for The Detection of Attacks Against Web
Application”, 2012.
[7] C.Wolf, J. Müller, M. Wolf, and D.P.D.J. Schwenk: “Webforensik forensische
Analyse Von Apache httpd log files”, 2012.
[8] G.D. Forney Jr.1973: “The Viterbi Algorithm Proceedings of the IEEE”, 61(3):268–
278.
[9] S Padmaja Karthik, Ananthi Sheshasaayee: “Web Server Logs To Analyzing User
Behavior Using Log Analyzer Tool. IJARSE”, Vol. No.3, Special Issue (01), 2014.
[10] https://github.com/ethicalhack3r/DVWA, ( diakses pada tanggal 15 Mei pukul
14.00).
[11] J. P. John, F. Yu, Y. Xie, M. Abadi, and A. Krishnamurthy: “Searching the
searchers with searchaudit”. In Proceedings of the 19th USENIX conference on
Security, 2010.
[12] www.dvwa.co.uk, (diakses pada tanggal 15 Mei pukul 14.15).
[13] Narmeen S: “Forensic Investigation of User’s Web Activity on Google Chrome
using various Forensic Tools”. International Journal of Computer Science and
Network Security (IJCSNS), 2016.
[14] Al-Azhar,M.N:“ Practical Guideliness for Computer Investigation”. DFAT
Puslabfor, Jakarta, 2012.
[15] Chang K, Kim G, Kim K, Kim W: “Initial Case Analysis using Windows
Registry in Computer Forensics”, 2013.
[16] Rathod D.M.: “Web Browser Forensics Tools: Google Chrome”. Gujarat
Forensic Science University, 2017.

54
[17] Raymond cc: “7 Tools to Copy Locked or In Use Files”, (data diperoleh dari
situs internet: https://www.raymond.cc/blog/copy-locked-file-in-use-with-
hobocopy/). Diakses pada tanggal 15 Mei 2018.
[18] Silisoftware: “ Time Online Decoder Tools”, ( data diperoleh dari situs internet:
http://www.silisoftware.com). Diakses pada tanggal 15 Mei 2018.
[19] Wikipedia:”Forensika Komputer”, (data diperoleh dari situs internet:
https://id.wikipedia.org/wiki/Forensika_komputer). Diakses pada tanggal 15 Mei
2018.
[20] Download autopsy link : https://www.sleuthkit.org/autopsy/.

55