MAKALAH ANALISIS KINERJA SISTEM

RANGKUMAN ANTI-FORENSIK DAN JARINGAN FORENSIK

BAB 5 - 6

Kelompok 3
Fachry Hudaya M (12116438)
Rachma Chrysanti (15116899)
Syayu Hanana Y. Stefani (1B119024)
Usrip Ripando Lubis (17116484)
4KA16
 BAB 5
Anti-forensik
Anti-forensik adalah tantangan besar yang dihadapi para ahli forensik cyber dengan para
penjahat cyber modern. Ini adalah kumpulan alat dan teknik yang digunakan untuk merusak,
menghapus, atau memodifikasi data yang menghalangi pemeriksaan forensik normal. Tindakan
anti-forensik yang dilakukan pada perangkat akan merusak integritas data dan dapat
membahayakan penyelidikan. Maksud umum dari alat anti-forensik sepenuhnya untuk maksud
jahat. Anti-forensik atau kontra-forensik bisa menjadi pilihan untuk mempertahankan diri dari
spionase karena pemulihan informasi oleh alat forensik dapat diminimalkan.
Tujuan dari anti-forensik adalah untuk secara signifikan mengurangi kualitas dan
kuantitas artefak forensik yang ada pada disk. Ini adalah upaya kuat oleh penjahat cyber untuk
membuat analisis forensik digital mimpi buruk dan sulit bagi penyelidik forensik. Dengan
demikian, penyelidikan forensik sehubungan dengan artefak digital yang dirusak dengan
aktivitas anti-forensik menimbulkan banyak tantangan.
Untuk alat atau teknik yang akan ditandai sebagai entitas anti-forensik, itu harus memenuhi
syarat dengan satu atau lebih kriteria berikut:
• Menyerang Data
• Menyerang Alat Forensik
• Menyerang Pekerjaan Investigator
 Praktik Anti-forensik

Setelah mendapatkan tinjauan umum tentang anti-forensik , sekarang kita akan melihat metode
anti-forensik yang berbeda.
Pakar forensik dunia maya telah mengkategorikan berbagai teknik anti-forensik berdasarkan
fungsi mereka. Ini dikategorikan ke dalam empat kategori seperti yang ditunjukkan pada Gambar
5-1.

Teknik Anti-Forensik
Gambar 5-1. Teknik Anti-forensik

Penghapusan dan Penghancuran Data

Membersihkan hard drive menghapus semua data pada disk. Menyeka juga disebut
sebagai penghancuran atau penghilangan digital. Digital shredding mirip dengan menghapus di
mana Anda menghapus sebagian dari hard disk drive dan menimpanya dengan data acak.
Memformat disk atau menghapus kontennya tidak menghapus data dari disk. Dalam
penghapusan data, drive akan ditimpa beberapa kali agar data yang ada di dalamnya tidak dapat
dibaca. Penghapusan data memastikan pembersihan artefak yang tertinggal di drive, dan
memastikan bahwa itu tidak dapat dipulihkan. Departemen Pertahanan (DoD) telah menetapkan
protokol untuk menghapus disk, yang menentukan bahwa disk harus menjalani tiga atau tujuh
pass overwrite. Dalam tiga pass (DoD 5220.22-M adalah kode untuk three pass) menimpa, data
ditimpa oleh '0 diikuti oleh' 1 diikuti oleh karakter acak apa saja untuk membuat data tidak
terbaca. Akhirnya, pass verifikasi mengkonfirmasi keberhasilan penimpaan. Dalam tujuh lulus
(DoD 5220.22-M ECE adalah kode untuk tujuh lulus) menimpa, urutan diikuti. Tiga langkah
pertama mirip dengan tiga lulus menimpa; mengikutinya di langkah keempat, karakter acak
kedua dilewatkan, kemudian lagi data ditimpa oleh '0' dan '1' dan kemudian karakter acak.
Akhirnya, pass verifikasi mengkonfirmasi data telah ditimpa.
 Banyak sumber terbuka dan alat komersial tersedia untuk tujuan penghapusan data.
Menyeka adalah cara yang efektif untuk membuang semua data. Kita akan melihat beberapa alat
seperti Penghapus dan USB terlupakan nanti dalam bab ini, bersama dengan demo. Namun,
penelitian menunjukkan bahwa beberapa alat dapat meninggalkan beberapa fragmen pada
sistem.
Data Remanence
Kadang-kadang bahkan setelah upaya penghapusan data, ada sejumlah data yang tersisa
di disk; data residual tersebut disebut remanen data. Dengan semakin kompleksnya alat dan
teknik anti-forensik, hampir tidak ada fragmen data yang tersisa pada sistem. Dalam beberapa
kasus yang jarang terjadi, beberapa fragmen diperoleh; tetapi tanpa detail yang cukup, sulit untuk
mengumpulkan fragmen-fragmen seperti itu untuk membentuk beberapa bukti.
Degaussing
Salah satu pendekatan untuk menghapus data adalah metode yang dikenal sebagai
degaussing data di mana elektromagnet yang kuat digunakan untuk menghapus data dari disk.
Degaussing, yang merupakan bentuk demagnetisasi, adalah proses di mana objek magnetis
seperti hard drive terpapar ke medan magnet yang kuat dengan intensitas fluktuasi yang besar,
sehingga mengatur ulang perangkat ke keadaan netral secara magnetis.
Setelah mengalami medan elektromagnetik yang kuat, seluruh struktur magnetik perangkat akan
direstrukturisasi. Degausser mengacak pola magnetisasi dengan menggunakan medan bolak-
balik dari amplitudo magnet yang kuat.
Ada banyak degaussers tersedia di pasar, dan banyak peretas licik bahkan membangun
degaussers mereka sendiri. Degaussers biasanya termasuk koil, pelepasan kapasitif, dan magnet
permanen. Dalam koil degausser, medan elektromagnetik bolak kuat diproduksi dengan bantuan
inti baja yang dibungkus dengan kawat tembaga. Pengaturan ini menghasilkan tingkat panas
yang tinggi, yang memungkinkan siklus operasional pendek untuk melindungi koil dari panas
berlebih.
Degaussers discharge kapasitif menggunakan penggunaan kapasitor untuk menyimpan energi.
Setelah terisi penuh, kapasitor melepaskan energi ke koil, yang menciptakan impuls
elektromagnetik yang sangat kuat. Pengaturan ini memungkinkan degausser memiliki siklus
tugas berkelanjutan.
Hampir tidak mungkin untuk memulihkan data dari hard drive setelah degaussed.
SSD sangat kebal terhadap degaussing karena tidak bergantung pada struktur magnetik serupa
seperti hard disk drive atau penyimpanan.

Alat yang akan kita gunakan untuk menyeka data adalah sebagai berikut:
• USB Oblivion - Utilitas ini dirancang untuk menghapus semua jejak drive yang
terhubung USB dan CD-ROM dari Registry di Windows.
• Eraser - Eraser adalah alat open source untuk Windows yang memungkinkan Anda
untuk menghapus data sensitif sepenuhnya dari hard drive Anda dengan menimpanya
beberapa kali dengan pola yang dipilih dengan cermat.
Alat alternatif:
• Disk Wipe - Ini adalah aplikasi Windows portabel open source untuk penghancuran
data volume permanen. Itu dapat menghapus semua data disk dan juga mencegah
pemulihan data tersebut.
Studi Kasus: USB Oblivion
Sistem Windows menyimpan catatan semua perangkat USB yang telah terhubung ke
komputer di masa lalu di Windows Registry. Kadang-kadang selama penyelidikan, informasi
tentang perangkat USB ini penting dalam menyelesaikan suatu kasus. Untuk menghapus jejak
perangkat USB yang terhubung, alat Oblivion USB dapat digunakan.
Studi Kasus : Penghapusan
Karyawan orang dalam yang bekerja di suatu organisasi telah berhasil menyalin beberapa
file rahasia ke pen drive USB 1 GB (dalam hal ini, 1,001) dari jaringan perusahaan dan
kemudian menyalinnya ke desktop, melihatnya, dan kemudian menghapus file menggunakan alat
Eraser. Bahkan setelah menghapus file, sistem operasi tidak menghapus file dari disk, itu
menghapus referensi file dari tabel sistem file. Sebelum file ini ditimpa, siapa pun dapat dengan
mudah mengambilnya dengan utilitas yang tidak terhapus atau pemeliharaan disk. Alat Eraser
digunakan untuk menghapus data sepenuhnya dengan menimpanya beberapa kali dengan pola
yang dipilih dengan cermat.

Trail Obfuscation
Jejak melibatkan penggunaan alat dan teknik dalam upaya untuk menyesatkan investigasi
dengan memanipulasi bukti. Penjahat dunia maya / Peretas tahu pentingnya membersihkan dan
membersihkan jejak mereka. Manipulasi bukti dilakukan untuk menyesatkan dan
membingungkan para penyelidik forensik. Penggunaan perangkat lunak Jaringan Pribadi Virtual
(VPN) seperti TunnelBlick, dll., Adalah contohnya.
Spoofing
Ini adalah trik yang sangat umum digunakan oleh peretas di mana mereka berpura-pura
menjadi orang lain dengan mengubah alamat IP dan MAC mereka. Mereka mungkin
menyembunyikan kredensial mereka dengan menipu beberapa nilai acak atau dengan nilai yang
ditentukan.
IP spoofing adalah hal yang biasa karena sangat mudah digunakan. Itu bisa dilakukan
dengan bantuan alat atau bahkan secara manual.
Spoofing Mac juga tidak terlalu sulit untuk digunakan, tetapi itu kurang umum. Dibutuhkan
spoofing selangkah lebih maju dengan menyembunyikan identitas perangkat ke tingkat yang
lebih optimal.
Modifikasi Data
Teknik ini melibatkan memanipulasi metadata dan timestamp data. Manipulasi sederhana
ini dapat membuat banyak penghalang dalam investigasi. Modifikasi timestamp yang sederhana
dapat memengaruhi analisis timeline suatu kasus.
Memanipulasi metadata juga sama-sama mengganggu, karena mungkin sepenuhnya
menghapus data signifikan forensik. Timestomp sangat penting dan penting dalam banyak
penyelidikan forensik. Ini adalah metadata yang mencatat informasi file yang mencakup waktu
dan tanggal pembuatan, modifikasi, dan akses file.
Studi Kasus: Timestomp
Seorang penyerang telah berhasil mengkompromikan Windows Server 2003 karena
kerentanan netapi yang ada di atasnya dan mendapat shell meterpreter menggunakan Metasploit
Framework, yang merupakan kerangka kerja pengujian pena sumber terbuka untuk
mengeksploitasi sistem pada berbagai platform. Dia kemudian mengubah cap waktu file untuk
membingungkan pengguna dan simpatisan.
Timestomp mengubah atribut MAC dari suatu file. Di sini MAC adalah singkatan dari
akses yang dimodifikasi dan tanggal pembuatan suatu file. Alat ini sebenarnya mengubah atribut
file tersebut untuk membuat kebingungan dalam proses investigasi.
 Di sini, kami mengeksploitasi mesin Windows server 2003 menggunakan Metasploit
Framework di Kali Linux. Metasploit Framework adalah platform untuk mengeksekusi
eksploitasi. Kemudian kami meningkatkan hak istimewa dan mulai mengerjakan timestomp.

1. Di Kali Linux, buka terminal dan ketik: msfconsole

2. ms08_067_netapi adalah exploit jarak jauh terhadap Microsoft Windows Server 2003
yang memungkinkan penyerang mendapatkan akses tidak sah ke sistem korban. Perintah
dalam Kali untuk exploit ini: use exploit / windows / smb / ms08_067_netapi
3. Kemudian atur alamat IP Remote Host (RHOST) (dalam halWindows ini alamat ip
server). Di sini ia menggunakan 445 default sebagai RPORT.
4. Sekarang kita akan mulai mengeksploitasi mesin server Windows. exploit
5. Perintah berikut di Kali akan menampilkan opsi yang tersedia dan cara menggunakan
timestomp dengan benar.
6. Di sini kita mengubah cap waktu dari sebuah file bernama proyek. txt hadir di sistem
korban.
7. Sekarang kita akan mengubah waktu MAC file menggunakan berbagai opsi -c, -a, -m, -e,
yang akan mengubah timestamp dari berkas.
• Untuk mengubah bidang yang Dibuat: timestomp project.txt -c "2/12/2006 13:12:57"
• Untuk mengubah bidang yang diakses: timestomp project.txt -a "2/12/2006
13:12:57"
• Untuk ubah Kolom Dimodifikasi: timestomp project.txt -m "2/12/2006 13:12:57"
• Untuk mengubah Kolom Entri Dimodifikasi: timestomp project.txt -e "2/12/2006
13:12:57"
Di sini kita dapat melihat cap waktu berhasil diubah oleh penyerang untuk menipu penyelidik.

Enkripsi
Proses mengubah data yang terbaca menjadi data yang tidak terbaca adalah proses
kriptografi. Ini adalah metode anti-forensik pertama dan asli. Kriptografi membawa konsep
enkripsi kepada pengguna komputer. Dengan meningkatnya kekhawatiran tentang privasi,
enkripsi telah menjadi populer akhir-akhir ini. Bahkan produsen perangkat meluncurkan fitur
enkripsi dengan perangkat mereka agar pengguna dapat melindungi privasi mereka. Protokol dan
standar enkripsi canggih sedang dikembangkan untuk meningkatkan perlindungan privasi.
Untuk menunjukkan, kami akan menggunakan VeraCrypt, perangkat lunak enkripsi disk
sumber terbuka yang mendukung semua platform seperti Windows, Linux. dan macOS. Ini
digunakan untuk membuat disk terenkripsi virtual dalam file atau mengenkripsi partisi atau (di
Windows) seluruh perangkat penyimpanan dengan otentikasi pra-boot.
Sebagai pengguna korporat yang menggunakan laptop berbasis Windows di mana
komputer dibagikan oleh dua orang pada suatu waktu, beberapa dokumen rahasia perlu
disembunyikan dari pengguna lain. Di sini kita akan membuat folder aman yang hanya akan
muncul ketika drive sudah terpasang. Oleh karena itu, hanya dapat dilihat oleh pengguna yang
membuatnya.
1. Klik pada huruf apa saja Drive dan kemudian klik pada "Buat Volume" untuk memulai.
Di sini kami telah memilih drive E:, Anda dapat menggunakan drive apa pun yang Anda
pilih.
2. Pilih tempat Anda ingin membuat volume VeraCrypt. VeraCrypt membuat wadah
terenkripsi pada disk lokal, atau mengenkripsi seluruh perangkat.
3. Volume penampung file adalah file tunggal (yang mirip dengan file zip) dan dapat
digunakan untuk menyimpan beberapa file yang dienkripsi.
4. Partisi nonsystem adalah partisi hard disk yang dienkripsi menggunakan VeraCrypt.
Kami juga dapat Mengenkripsi seluruh hard disk atau perangkat penyimpanan lainnya.
5. Pilih apakah akan membuatVeraCrypt 'Standar' atau 'tersembunyi' Volume. Kami akan
memilih Volume VeraCrypt Standar .
6. Pilih lokasi file VeraCrypt, yang akan kita pasang nanti.
7. Selanjutnya, pilih algoritma enkripsi dan hash.
8. Selanjutnya, Pilih Kapasitas Penyimpanan Volume.
9. Masukkan Kata Sandi untuk program.
10. Ikuti pedoman di kotak dialog dan klik 'Format' saat diminta.
11. Pilih Partisi dari panel dan kemudianbaru dibuat pasang file VeraCrypt.
12. Ini akan menanyakan kata sandi yang Anda berikan pada langkah.

Menyembunyikan Data
 Menyembunyikan data adalah praktik umum di kalangan peretas dan penyerang. Mereka
menyembunyikan data sensitif mereka di Host Protected Area (HPA), Slack space, dan Alternate
Data Streaming (ADS) karena area ini tidak termasuk dalam parameter pencarian apa pun.

Steganografi dan Kriptografi

Steganografi adalah praktik penulisan rahasia atau tersembunyi. Sudah ada sejak lama di
mana ia diadopsi oleh mata-mata untuk menyembunyikan pesan dan rahasia kerajaan mereka
Peretas menyembunyikan pesan mereka di balik file media seperti audio, gambar, atau video.
File media ini menjadi pembawa yang cocok untuk mengangkut file rahasia yang mengandung
beberapa data saat mereka menyembunyikannya di depan mata. File media pembawa akan
muncul dan berfungsi tidak berubah, tetapi metadata-nya tidak bisa dikompromikan. Perbedaan
utama antara kriptografi dan steganografi adalah steganografi menyembunyikan /
menyembunyikan informasi di dalam operator seperti gambar, audio, spam, dll., Dan
menyembunyikan fakta bahwa bahkan ada pesan sama sekali di dalamnya, sedangkan kriptografi
adalah tentang menyembunyikan konten suatu pesan ke format yang tidak dapat dibaca
menggunakan algoritma seperti RSA, AES, DES, dll.
Dalam serangan polyglot, peretas dapat menyembunyikan malware di dalam kode untuk
file yang ada (gambar). Dalam serangan yang berhasil menggunakan alat polyglot, browser web
hanya akan memuat kode untuk apa yang tampaknya menjadi tujuan yang dimaksudkan,
memungkinkan kode berbahaya tetap tersembunyi saat melakukan serangan. Sebagai contoh,
para peretas sebenarnya dapat memanipulasi kode untuk membuatnya seolah-olah itu hanya
sebuah gambar. Tapi begitu browser web mengunggah gambar, itu juga mengunggah malware -
yang merupakan kode JavaScript.
Dibandingkan dengan steganografi, polyglot mengkompilasi kode gambar dan malware
bersama-sama, yang pada gilirannya dapat menyembunyikan masuknya malware. kode.
Di sini kami memiliki file secret.txt yang berisi rincian rekening bank. Kami akan
menyembunyikan file ini dalam gambar menggunakan alat SilentEye.
Teknik Deteksi Anti-forensik
Ada berbagai alat untuk mendeteksi anti-forensik, dan mereka dapat digunakan oleh
penyelidik forensik dengan menggunakan alat yang tepat dan sesuai.
Sebagai contoh, kami telah menunjukkan alat bernama Stegdetect untuk mengidentifikasi konten
steganografi dalam file gambar. File stego ini yang akan kami identifikasi adalah file gambar
jpeg.
Studi Kasus: Stegdetect
Stegdetect adalah alat open source dan utilitas gratis yang digunakan untuk menganalisis
file gambar (file stego) untuk konten steganografi dengan menjalankan tes statistik untuk
menentukan apakah ada konten steganografi yang ada dalam file gambar. Stegdetect mampu
mendeteksi beberapa metode steganografi yang berbeda seperti jsteg, jphide, rahasia tak terlihat,
outguess, F5, dan kamuflase.
Di sini kita menggunakan file IMAGE.jpeg dengan beberapa konten steganografi di
dalamnya . Kami melakukan steganografi pada gambar ini menggunakan steghide alat. Steghide
adalah alat steganografi open source yang digunakan untuk menyembunyikan data dalam
berbagai jenis file gambar dan audio. Anda dapat mengunduh alat ini menggunakan perintah
'sudo apt install steghide' untuk memeriksa apakah suatu file berisi konten steganografis apa pun.
Di sini kita dapat melihat bahwa dalam file IMAGE.jpeg, metode steganografi outguess
digunakan. OutGuess adalah alat steganografi yang memungkinkan Anda untuk memasukkan
informasi tersembunyi ke dalam bit sumber data yang tidak perlu: yaitu, format gambar jpeg atau
PNG.
 BAB 6
JARINGAN FORENSIK

Jaringan Forensik adalah sub-cabang cyber forensik yang berkisar pada

pemeriksaan bukti digital yang berhubungan dengan jaringan. Ini melibatkan
pemantauan, perekaman, analisis, dan menafsirkan lalu lintas jaringan.
Komponen Jaringan Forensik:
• Pengambilan dan analisis paket
• Akuisisi perangkat jaringan
• Respon insiden
Bab ini akan membahas bagaimana kita melakukan analisis forensik
jaringan dengan menganalisis lalu lintas jaringan real-time dalam file
format .pcap menggunakan alat open source seperti Wireshark, Network
Miner, dan Xplico, dan melihat berbagai output dan hasil.

Model OSI
Dirancang oleh Organisasi Internasional Standardisasi (ISO), model
Open Systems Interconnection (OSI) adalah konsep jaringan tujuh lapis yang
digunakan untuk mendefinisikan jaringan antar sistem. OSI dikembangkan
pada tahun 1984. Dibagi dalam dua kelompok: Lapisan Atas dan Bawah.
Lapisan atas fokus pada aplikasi pengguna dan representasi file sebelum
diangkut, lapisan bawah mengawasi komunikasi di seluruh jaringan.
 Lapisan 1: Lapisan Fisik
Mulai dari bawah, ini adalah lapisan terendah dari model OSI, yang
berkaitan dengan transmisi dan penerimaan aliran bit mentah yang tidak
terstruktur melalui media fisik. Fungsinya yaitu pengkodean data dan
transmisi.
Lapisan 2: Lapisan Tautan Data
Lapisan ini menyediakan transfer frame data yang bebas dari
kesalahan antara node di atas lapisan fisik. Lapisan ini juga bertanggung
jawab untuk mengambil data dari lapisan atas dan mengubahnya menjadi bit
yang akan ditransfer melalui kabel fisik, dan sebaliknya. Ini dibagi menjadi
dua lapisan:
• Logical Link Control (LLC), menyediakan kontrol aliran dan kesalahan
ujung-ke-ujung, dan multiplexing protokol berbeda dari lapisan MAC pada
DLL.
• Media Access Control (MAC), menyediakan identifikasi pengalamatan yang
unik dan mekanisme kontrol akses saluran untuk node jaringan untuk saling
berkomunikasi.
 Lapisan 3: Lapisan Jaringan
Teknologi peralihan dan perutean yang diperlukan untuk komunikasi
berlangsung di Lapisan Jaringan OSI. Lapisan ini bertanggung jawab untuk
mengelola informasi pengalamatan lokal dalam paket dan memastikan
pengiriman yang tepat ke tujuannya. Lapisan jaringan melakukan fungsi
perutean, fragmentasi, pemasangan kembali, dan bahkan melaporkan
kesalahan pengiriman.
• IP (Internet Protocol)
• RIP (Routing Information Protocol)
• OSPF (Open Shortest Path First)
• IPX (Internetwork Packet exchange)
Lapisan 4: Lapisan Transport
 Lapisan keempat dari model OSI bertanggung jawab untuk transfer
data transparan antara pengguna akhir dan juga transfer data untuk lapisan
atas. Transport Control Protocol (TCP) dan User Datagram Protocol (UDP)
beroperasi pada lapisan ini dan menggunakan Nomor Port untuk
mengaktifkan multiplexing dan de-multiplexing. Setiap flag TCP berukuran 1
bit. Beberapa flag TCP adalah sebagai berikut:
 1. SYN - Synchronization Flag
 2. ACK - Acknowledgement Flag
 3. FIN - Finish Flag
 4. URG - Urgent Flag
 5. PSH - Push Flag
 6. RST - Reset Flag
 7. ECE - This Flag
 8. CWR - Flag Congestion Window Reduced
 9. NS - Nonce Sum Flag
Lapisan 5: Lapisan Sesi
Lapisan kelima OSI membuat, mengelola, dan mengakhiri sesi antar
aplikasi di setiap ujung. Lapisan Sesi bertanggung jawab untuk
mengoordinasikan permintaan dan respons layanan antara aplikasi dan host.
Ada tiga jenis koneksi di Lapisan Sesi: Simplex, Half Duplex, Full Duplex
Lapisan 6: Lapisan Presentasi
Lapisan Presentasi adalah lapisan keenam dari model OSI dan
bertanggung jawab untuk representasi data karena mengontrol
pemformatan dan sintaksis data pengguna. Fitur utama dari lapisan ini
termasuk representasi data, kompresi, dan keamanan. Lapisan ini
mengenkripsi, mengompres, dan mendekripsi data yang dikirim dan diterima
melalui jaringan.
Lapisan 7: Lapisan Aplikasi
Ini adalah lapisan terakhir dan paling atas dari model OSI. Lapisan ini
menyediakan antarmuka bagi pengguna untuk berinteraksi dengan jaringan
dengan bantuan aplikasi perangkat lunak. FTP, HTTP, dan Telnet beroperasi
pada Lapisan Aplikasi. Layanan aplikasi seperti transfer file, email,
penjelajahan internet, dan layanan lainnya disediakan oleh Lapisan Aplikasi.
Jejak Kaki Forensik
Dalam forensik jaringan, para penyelidik memiliki tugas menjelajahi
internet untuk mendapatkan jejak peretas / penyerang. Data bergerak dalam
bentuk paket di dunia maya, dan paket ini menyimpan informasi yang
sangat berharga seperti sumber, tujuan, dan konten. Jika peretas /
penyerang kejahatan yang terkait dengan jaringan mungkin meninggalkan
jejak, penyelidik perlu menganalisisnya. Jejak semacam itu juga disebut jejak
kaki.
Penyitaan Perangkat Jaringan
Perangkat jaringan harus ditangani dengan hati-hati. Jaringan ini berisi
data penting yang berguna dalam penyelidikan kasus cybercrime. Langkah-
langkah yang harus diikuti untuk menyelidiki perangkat seperti Firewall,
sakelar L3, Intrusion Prevention Systems (IPS), dll., sebagai berikut:
 1. Matikan perangkat dan matikan catu dayanya.
 2. Lepaskan koneksi kabel dan kemas perangkat ini dalam bahan kemasan
antistatis yang tepat.
 3. Isi formulir lacak balak yang merupakan formulir dokumentasi resmi yang
digunakan oleh lembaga penegak hukum beserta semua sejarah kronologis
bukti elektronik.
Apa yang perlu kita cari di Perangkat Jaringan seperti Firewall adalah sebagai
berikut:
• Lalu lintas diizinkan dan diblokir di firewall.
• Penggunaan bandwidth&protokol seperti penggunaan CPU yang tinggi dan
melampaui batas.
• Bytes yang ditransfer (file besar) jika ada.
• Kegiatan serangan yang terdeteksi seperti serangan yang datang dari
sumber.
• Akses administrator seperti upaya gagal yang masuk.
Artefak Jaringan Forensik
 Artefak forensik yang terkait dengan jaringan dan komunikasi
termasuk dalam kategori Artefak Jaringan Forensik.
1. Dynamic Host Configuration Protocol (DHCP)
2. Network Time Protocol (NTP)
3. Domain Name Server (DNS)
4. Web Proxy logs
5. Firewall
6. Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS)
Artefak Jaringan Forensik juga menyertakan bukti dari firewall berbasis
perangkat lunak dan klien surat seperti MS Outlook dan Outlook Express,
Eudora, dll.
Serangan ICMP
ICMP atau Internet Control Messaging Protocol milik keluarga protokol
IP. Ini adalah protokol tanpa koneksi, dan tidak menggunakan nomor port
apa pun. Digunakan untuk diagnostik, pelaporan kesalahan, dan permintaan
server web. Karena ICMP tidak membawa data dan biasanya membawa
pesan kesalahan pengingat dan laporan balasan pesan sering diabaikan oleh
firewall. Oleh karena itu, peretas menggunakan ICMP untuk mengirim
muatan.
ICMP Sweep Attack
Serangan Sweep ICMP digunakan untuk memindai jaringan target
untuk menemukan host yang rentan untuk penyelidikan lebih lanjut dan
serangan kemungkinan. Ini melibatkan pengiriman banyak permintaan ICMP
- yang memerlukan balasan, ke jaringan target dan mencari tahu dari daftar
balasan ICMP, apakah host yang dipilih masih hidup dan terhubung ke
jaringan target.
Serangan Traceroute
Traceroute adalah perintah yang digunakan untuk menemukan rute
yang diambil paket saat bepergian ke tujuan mereka dan digunakan untuk
menentukan topologi jaringan. Traceroute mengirimkan serangkaian paket
dengan set nilai TTL (Time to Live) yang meningkat.
Serangan Pemetaan Balik
Ini adalah teknik yang digunakan untuk memetakan jaringan internal
atau host yang dilindungi oleh firewall atau perangkat penyaringan lainnya.
Dalam serangan ini, peretas mengirim pesan balasan ICMP ke berbagai
alamat IP, mengingat mereka dilindungi.
ICMP Smurf Attack
Dalam Smurf Attack, peretas akan menipu alamat sumber paket ICMP
dan akan menyiarkan permintaan gema ICMP ke semua komputer di
jaringan. Sebagai imbalannya, sistem host akan menanggapi kembali
permintaan ICMP, menciptakan banjir pesan yang menyebabkan degradasi
jaringan sistem korban. Ini akan menghasilkan serangan Denial of Service
(DoS), yang akan membuat target dengan membanjiri atau menabraknya,
sehingga membuatnya benar-benar tidak dapat diakses oleh siapa pun.
Unduhan Drive-By
Belakangan ini, serangan unduhan drive-by telah menjadi metode
masuk peretas untuk menyebarkan malware. Pertama, peretas membajak
situs web tidak aman dan menanamkan skrip berbahaya mereka ke dalam
kodenya. Dibandingkan dengan serangan lain di mana pengguna perlu
mengunduh file yang terinfeksi malware, di sini yang perlu dilakukan
pengguna adalah mengunjungi situs web yang terinfeksi. Ini adalah jenis
serangan browser sisi klien yang mengekspos kerentanan lapisan aplikasi.
Peretas menggunakan kode laman web untuk menemukan titik sempurna
untuk menyuntikkan skrip mereka, yaitu pop-up iklan.

Network Forensic Analysis Tools

Selama bertahun-tahun, forensik jaringan telah menjadi bidang yang telah melihat
perkembangan yang signifikan. Perlunya pemeriksaan forensik perangkat jaringan dan log
perangkat lunak telah menyebabkan pengembang untuk menciptakan banyak alat yang
membantu dalam penyelidikan forensik. Terlepas dari alat komersial, ada koleksi kaya alat
jaringan-forensik open source yang tersedia di pasar seperti Wireshark, Xplico, dan Network
Miner. Kami telah menunjukkan semuanya dengan skenario kasus di bab ini.

Wireshark
Wireshark adalah penganalisa protokol jaringan open source paling populer. Alat multi
platform ini adalah alat serbaguna dengan sejumlah besar fitur. Ini secara efisien memeriksa
berbagai protokol, menangkap paket, dan membantu dalam pemeriksaan dan analisis. Ini
memiliki GUI yang sangat rinci dan mudah digunakan serta tshark utilitas baris perintah. GUI
memiliki filter tampilan yang kuat yang memungkinkan penyaringan data yang lebih baik dan
menghemat waktu. Analisis VoIP juga didukung dalam Wireshark Wireshark mampu membaca
dan menulis berbagai format penangkapan seperti Pcap, tcpdump, Cisco IDS iplog, Microsoft
Network Monitor, dll.
Studi Kasus: Wireshark
Di sini kita sedang melakukan penemuan pola dan analisis dengan mencoba menemukan
jejak malware menggunakan teknik ukiran File. Untuk tahap Resolution dan backtracing, kami
akan mengekstrak file yang dapat dieksekusi menggunakan Wireshark dan menggunakan Hex
editor untuk menghapus karakter ASCII yang tidak diinginkan dari file yang dapat dieksekusi
yang ada dalam file pcap, yaitu filee.pcap. Ukiran file adalah proses pengelompokan ulang file
komputer dari fragmen dengan tidak adanya metadata filesystem.
1. Buka Wireshark
2. Buka File ➤ Buka. Buka filee.pcap (yang merupakan tangkapan langsung pcap) untuk di
analisis (Figure 6-2).
3. Ketik http.request.method == "DAPATKAN" di kotak filter untuk mendapatkan semua
permintaan dalam tangkapan paket dan klik Terapkan.
4. Pergi ke paket yang diinginkan dan klik kanan pada salah satu dari mereka. Di sini telah
dipilih paket no 299 (Pergi ke paket no 299), Pilih opsi dan klik "Ikuti TCP Stream."
Format yang dapat dieksekusi MZ adalah file yang dapat dieksekusi yang digunakan
untuk file .exe di DOS. Berdasarkan output, disimpulkan adalah file .exe dan menduga
itu berbahaya.
5. Klik "Save As" dan simpan file sebagai filee.exe karena file tersebut adalah file yang
dapat dieksekusi Microsoft dengan tanda tangannya file.
 6. Sekarang buka file di Bless Hex Editor (Figure 6-5). Bless adalah open source, editor
biner heksadesimal berfitur lengkap, sebuah program yang memungkinkan untuk
mengedit file sebagai urutan byte yang ditulis untuk Desktop GNOME (sistem operasi
mirip Unix).
7. Hapus tajuk Dapatkan permintaan dari file dengan menekan delete pada karakter ASCII
yang tidak diinginkan (Figure 6-6).
8. Setelah menghapus tajuk permintaan GET, simpan file dengan membuka File ➤ Save
9. Verifikasi file. Ubuntu mengenali file ini sebagai file Windows Executable.
10. Sekarang memindahkan file 1.exe dengan www.virustotal.com.) Virus Total adalah
portal online gratis yang menganalisis file dan URL untuk mendeteksi virus, worm,
Trojans, dan jenis konten atau program jahat lainnya menggunakan berbagai mesin
vendor antivirus dan pemindai situs web. Total Virus telah menemukan Trojan yang
merupakan program jahat pada file 1.exe.
Network Miner
Dikembangkan oleh NETRESEC pada 2007, Network Miner adalah alat Analisis
Jaringan open source yang merupakan alat yang mampu menangkap paket / sniffer jaringan
pasif. Itu dapat mendeteksi sistem operasi, membuka port, sesi, dll, tanpa mengirim lalu lintas di
jaringan. Network Miner dapat mengurai file PCAP untuk analisis offline dan untuk regenerasi
file dan sertifikat yang dikirimkan. Network Miner hadir dalam dua versi: gratis dan profesional;
ada beberapa batasan dari versi gratisnya. Network Miner memiliki antarmuka pengguna yang
minimal namun ramah pengguna. File pcap diuraikan dan analisisnya sederhana.
Di sini telah menggunakan lalu lintas jaringan yang ditangkap untuk analisis (RM-
07072011.pcap), yang di analisis menggunakan Network Miner untuk memeriksa berbagai
aktivitas jaringan. Melakukan semua pada Security Onion, yang merupakan distro Linux open
source yang dibangun di Ubuntu. Dapat digunakan untuk deteksi intrusi, pemantauan keamanan
perusahaan, manajemen log, dll. Muncul dengan banyak alat sumber terbuka untuk analisis
forensik.
1. Buka Network Miner. Arahkan ke File ➤ Buka dan pilih tangkapan paket yang ingin di
analisis (Figure 6-9). Di sini menggunakan file RM-07072011.pcap untuk di analisis.
2. Network Miner melakukan pre-sort IP berdasarkan rinciannya: misalnya, sistem operasi,
alamat MAC, data yang dikirim dan diterima, dll..
 3. Navigasikan ke IP dan lihat detail yang disediakan.
4. Jelajahi semua submenu IP (di sini 192.168.40.65). Di sini dapat di lihat bahwa sistem
Operasi yang digunakan adalah Windows. Kita juga dapat melihat Port TCP terbuka,
Data Terkirim dan Diterima, serta Sesi.
5. Klik pada tab File untuk melihat semua file yang diekstraksi dari Network Capture yang
diukir oleh Network Miner.
6. Klik pada tab Image untuk melihat semua gambar yang dapat diukir oleh Network Miner
dari tangkapan jaringan.
7. Klik Kredensial untuk melihat semua yang diukir dari tangkapan jaringan. Di sini kita
dapat melihat situs web Facebook diakses. Di beberapa perusahaan, mengakses Facebook
selama jam kerja bisa menjadi pelanggaran kebijakan.
8. Klik pada tab DNS untuk melihat semua permintaan DNS yang dibuat dalam paket
capture ini dengan Client dan Server Ports, waktu, dan Sumber yang Relevan dan Alamat
IP Tujuan (Figure 6-16).
9. Navigasikan kembali ke tab File, pilih file apa saja, dan klik kanan padanya. Network
Miner menyediakan opsi untuk membuka file yang dipilih atau folder tempat
penyimpanannya.
10. Di sini kami telah membuka satu file JavaScript yang memberi kami detail tentang profil
Facebook yang dikunjungi.

Xplico
Xplico dikembangkan dengan satu tujuan dalam pikiran dan itu adalah ekstraksi data
aplikasi. Itu dikelola oleh Gianluca Costa dan Andrea de Franceschi. Ia menggunakan Port
Independent Protocol Identification (PIPI) untuk setiap protokol aplikasi. Secara otomatis dapat
mem-parsing dan menganalisis file pcap, yang menghemat waktu dan merupakan fitur yang
efisien. Ini menyajikan data dalam grafik dan tabel yang rapi, yang membantu para ahli dalam
analisis. Mari kita lihat sebuah skenario contoh: direktur TI suatu perusahaan telah mengamati
bahwa penggunaan internet di seluruh perusahaan telah meningkat pesat belakangan ini dan
menemukan bahwa beberapa orang telah mengunduh file yang tidak perlu menggunakan internet
kantor. Untuk menemukan penyebabnya, dia menugaskan penyelidik untuk memeriksa dan
mengelola log jaringan. Sebagai penyelidik forensik, bagaimana menganalisis log ini sebagai
bukti selama insiden keamanan.
Kami akan menggunakan DEFT, distro berbasis Linux open source yang memiliki
banyak alat forensik open source yang sudah diinstal sebelumnya. Tujuannya adalah
menggunakan Xplico untuk menganalisis jaringan. Kami telah menggunakan tangkapan jaringan
langsung yang disimpan dalam file RM-07072011.pcap untuk analisis menggunakan xplico.
Jika xplico tidak diunduh di sistem ,maka unduh dengan mengetik perintah:
sudo apt-get install xplico
Sebelum memulai xplico, harus memulai server apache. Untuk memulai server apache, ketik:
sudo service apache2 mulai
Kemudian, mulai xplico dengan mengetik:
sudo /etc/init.d/xplico
Ini akan memulai xplico dan basis datanya di latar belakang.
1. Buka Xplico Web Interface dengan masuk ke DEFT (Start) ➤ DEFT ➤ Network Forensics
➤ Xplico.
2. Setelah sukses Log In, klik New Case.
3. Ketikkan nama yang ingin digunakan pada bagian Case Name. Klik Pada Create untuk
membuat case.
4. Sekarang klik tautan "Nama Kasus" yang di buat.
5. Sekarang klik pada tab "Sesi Baru" untuk membuat sesi baru.
6. Ketikkan nama Sesi untuk menyederhanakan proses penyortiran saat melakukan analisis
beberapa sesi.
7. Sekarang klik "Nama Sesi" untuk menambahkan lalu lintas jaringan.
Setelah mengklik "Nama Sesi" berikutnya akan ke halaman di mana dapat
menambahkan lalu lintas jaringan untuk analisis.
8. Klik "Browse" untuk menambahkan file capture jaringan, dan kemudian klik "Upload"
setelah memilih file Network Capture. Di sini kami telah mengunggah file RM-
07072011.pcap.
9. Tunggu hingga decoding selesai, yang dilambangkan dengan notifikasi "DECODING
COMPLETED".
10. Bidang di bawah ini diisi oleh data yang dianalisis untuk tinjauan umum data yang cepat.
11. Klik pada tab "DNS" di bawah opsi "Grafik" untuk melihat data DNS.
12. Demikian pula, dapat dilihat data Arp. Klik tautan "Arp" di bawah opsi "Graphs" untuk
melihat data Arp. Ini menunjukkan alamat MAC dan alamat IP dengan tanggal dan waktu.
13. Klik pada tab HTML di bawah opsi Web untuk melihat lalu lintas HTML.
14. Klik LIHAT di pesawat Permintaan HTTP untuk melihat permintaan GET HTTP pengguna
yang sebenarnya.
15. Klik LIHAT di pesawat Respons HTTP untuk melihat respons HTTP SERVER.
16. Klik tautan "Gambar" di bawah "Web" untuk melihat semua file gambar yang dikirim
selama waktu pengambilan jaringan ini; dengan kata lain, saat memperoleh tangkapan file
pcap.
17. Klik pada tab TCP-UDP di bawah Undecoded untuk melihat semua URL yang dikunjungi,
nomor port, timing, dan protokol mana yang digunakan. Di sini kita dapat melihat protokol
yang digunakan tidak dikenal dan karenanya bisa berbahaya.

KESIMPULAN

Dalam bab ini kita melihat yang berikut:

 Anti-forensik adalah kumpulan alat dan teknik yang digunakan untuk merusak,
menghapus, atau memodifikasi data yang menghalangi pemeriksaan forensik normal.
 Tindakan anti-forensik yang dilakukan pada perangkat akan merusak integritas data dan
dapat membahayakan penyelidikan. Langkah-langkah anti-forensik diambil oleh penjahat
cyber untuk membuat tugas penyelidik forensik menjadi sangat sulit.
 Menyeka data, mengaburkan jejak, enkripsi, dan menghapus data adalah praktik anti-
forensik yang berbeda.
 Menyeka bersih hard drive menghapus semua data pada disk. Menyeka juga disebut
sebagai penghancuran atau penghilangan digital.
 Jejak Kebingungan melibatkan penggunaan alat dan teknik untuk menyesatkan p
 enyelidikan dengan memanipulasi bukti dan membersihkan jejak mereka.
 Proses konversi data terbaca menjadi data tidak terbaca adalah proses kriptografi.
Kriptografi membawa konsep enkripsi kepada pengguna komputer.
 Menyembunyikan data adalah praktik umum di kalangan peretas dan penyerang. Mereka
menyembunyikan data sensitif mereka di Host Protected Area (HPA), Slack space, atau
Alternate Data Streaming (ADS) karena area ini tidak termasuk dalam parameter
pencarian apa pun.
 Steganografi adalah proses penyembunyian data di mana peretas menyembunyikan pesan
mereka di balik file media seperti audio, gambar, atau video. File media ini menjadi
pembawa yang cocok untuk mengangkut file rahasia yang berisi beberapa data saat
mereka menyembunyikannya di depan mata.
 Ada berbagai alat pendeteksi anti-forensik yang tersedia seperti stegdetect, stegspy, dll.
 Dalam bab ini kita belajar hal-hal berikut:
 • Network Forensics adalah sub-cabang forensik siber yang berputar di seputar
pemeriksaan perangkat jaringan yang terkait dengan bukti digital. Ini melibatkan
pemantauan, perekaman, analisis, dan menafsirkan lalu lintas jaringan.
 • Dirancang oleh Organisasi Internasional Standardisasi (ISO), model Open Systems
Interconnection (OSI) adalah konsep jaringan tujuh lapis yang digunakan untuk
mendefinisikan jaringan antar sistem.
 • Tujuh lapisan Model OSI adalah Lapisan Fisik, Lapisan Tautan Data, Lapisan Jaringan,
Lapisan Transport, Lapisan Sesi, Lapisan Presentasi, dan Lapisan Aplikasi.
 • Dalam peristiwa kejahatan terkait jaringan, seorang peretas / penyerang mungkin telah
meninggalkan beberapa jejak, sehingga penyelidik perlu menganalisisnya. Jejak semacam
itu juga disebut jejak kaki.
 • Hampir semua perangkat jaringan saat ini datang dengan fitur logging, dan proses
mengekstraksi log dari perangkat jaringan dikenal sebagai penambangan log jaringan. Ini
melibatkan identifikasi, ekstraksi, pengaturan, dan pemeriksaan data log.
 • Beberapa artefak Forensik Jaringan dapat dihasilkan dari server Dynamic Host
Configuration Protocol (DHCP) server, Domain Name System (DNS) server, Server
Proxy Web, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), dan
firewall.
 • Alat open source untuk forensik jaringan yang telah kami gunakan adalah Wireshark,
Xplico, dan Network Miner.