Scribd Logo
Unggah

Selamat datang di Scribd!

  • Tugas Forensics - Ridwan Sachroni SG 3

    Diunggah oleh

    Ahmad S
    33 tayangan14 halaman
    Tugas forensic

    Judul Asli

    Tugas forensics - Ridwan Sachroni SG 3

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Tugas forensic

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    33 tayangan14 halaman

    Tugas Forensics - Ridwan Sachroni SG 3

    Diunggah oleh

    Ahmad S
    Tugas forensic

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 14

    Tugas Forensic

    Ridwan Sachroni

    SG 3

    Case 1 File Forensic

    1. path file original : E:\New folder\forensics\8-jpeg-search\8-jpeg-search

    2. hash file original

    3. path file yang akan di analisa : C:\Users\nn\Downloads\Forensics\8-jpeg-search\8-jpeg-search


    4. hash file yang akan di analisa

    5. menambahkan file untuk di analisa

    6. Melakukan analisis file dan mencari file gambar yang dihapus

    7. Ekstrak file gambar


    8. Verifikasi integrity file image setelah dilakukan pemrosesan

    9. Image yang di recovery


    Case 2 Email Header Forensic

    1. Buka email yang akan di cek

    2. Pilih show original untuk melihat header

    3. Copy header email

    4. cek header menggunakan email header analyzer


    5. Kesimpulan dari hasil tes diatas email ini bukan dari sumber yang di blacklist dan memiliki alamat yang
    legitimate.
    Case 3 Email & File Forensic

    1. Hash file original

    2. Hash file yang akan di analisa


    3. Menambahkan file image untuk di analisa

    4. Ekstrak file

    5. Hasil file yang telah di ekstrak


    6. Buka file email dengan eml viewer

    7. cek email dari dojoku88@gmail.com, karena email tersebut dikirim lebih awal

    8. Berdasarkan properties email tersebut, pengirim adalah Gigih Supriyatno, tetapi email yang
    digunakan bukan yang berdomain @bssn.go.id

    9. Copy email header nya untuk di cek


    9. cek hasil analisis header email

    10. Berdasarkan hasil analisis header, ada kemungkinan merupakan email spam

    11. Namun ketika dilihat detailnya, alasan di kategorikan spam nya tidak jelas. Sehingga ada
    kemungkinan email itu bukan spam dan filter yang lain pun tidak mendeteksinya sebagai spam
    12. Email ini patut dicurigai karena gigih supriyatno mengirimkan email ke phorensic18 bukan
    menggunakan email berdomain bssn dan juga dia meminta akses ke drive dengan mengirimkan link
    berikut ke email: https://docs.google.com/document/d/1HJJ-
    U034bAbkIRkhBcm5tLYAS7tlSTNYE1it9Mn9Pdg/edit?usp=sharing_erl&userstoinvite=dojoku88@gmail.c
    om&ts=5ad0587b

    13. Buka email dari riquelme@villareal.cf di outlook, kemudian download attachment nya

    8. Cek file signature dan isinya, kemudian bandingkan file signature nya dengan file signature database

    9. Tidak ditemukan sesuatu yang mencurigakan dari file pdf

    10. Cek email selanjutnya dari gigih.supriyatno@bssn.go.id

    11. save attachment dari email tersebut menggunakan outlook


    12. karena file image tidak dapat dibuka dengan image viewer, maka dibuka dengan hex editor

    13. ditemukan hal yang menarik karena ternyata imagenya mempunyai signature file pdf

    13. dan ternyata file dengan nama yang sama juga ditemukan di email riquelme@villareal.cf

    14. sayangnya kedua file tersebut tidak dapat dibuka dengan pdf viewer
    15. analisa email selanjutnya

    16. save attachment nya menggunakan outlook

    17. analisis header email nya

    18. setelah ditelusuri email diatas dikirimkan oleh gigih supriyatno melalui server bssn dengan ip
    118.97.58.5
    19. Selanjutnya image yang tadi telah disave dianalisa

    20. karena file image tidak dapat dibuka, selanjutnya image di buka dengan hex editor

    21. sama seperti file sebelumnya image ini pun memiliki signature pdf, sedangkan image png memiliki
    signature seperti ini

    22. sama seperti file sebelumnya, file tidak dapat dibuka oleh pdf viewer dan tidak dapat di konversi

    Kesimpulan:

    - Berdasarkan data diatas ada kemungkinan email dari riquelme@villareal.cf yang masuk
    merupakan phising dengan trojan horse.
    - Berdasarkan data diatas, email phishing masuk dari email Riquelme@villareal.cf pada tanggal
    26 November 2018 pukul 7:50:46 AM dan user mengakses nya
    - Selanjutnya google memberi peringatan ke phorensic18 bahwa akses ke aplikasi yang tidak
    aman telah diaktifkan pada pukul 9:18:20 AM pada tanggal 26 November 2018
    - Dikarenakan target belum dapat diserang maka attacker kemungkinan mencoba cara lain
    - Karena kemungkinan user mengakses gmail dari jaringan internal kantor, kemungkinan lain yang
    timbul adalah email internal user diambil alih menggunakan trojan seperti yang tercatat pada
    pukul 9:47:39 AM tanggal 26 November 2018 dan mengirimkan email ke
    phorensic18@gmail.com. Karena domain emailnya lebih menyakinkan, kemungkinan target
    untuk meng klik attachment pun lebih besar.
    - Seoerti dalam screenshot diatas, klien menggunakan email klien thunderbird yang berjalan
    diatas MAC OS X. Mac OS tersebut mempunyai fitur untuk memfilter email dengan api
    com.apple.quarantine.0081. Tanggal ketika file dikarantina adalah 29 November 2018, tiga hari
    setelah kejadian.

    Anda mungkin juga menyukai