Q

.
UNIVERSITAS INDONESIA
PROGRAM PASCASARJANA
PROGRAM STUDI MAGISTER MANAJEMEN
KEAMANAN JARINGAN INFORMASI

Mata Kuliah / SKS : Forensik Digital dan Jaringan / 4 SKS

Hari / Tanggal : Kamis / 19 Desember 2019
Dosen : Dr. Yohan Suryanto, ST. MT.

Nama : AYUBI WIRARA

NIM :1806244710
Skenario:

Terdapat sebuah image dd dan tiga file log yang diencryp menggunakan veracrypt. Container
veracrypt tersebut bisa didownload di
https://drive.google.com/open?id=1hJsDOKFSC6yd5ZI7kYmrIwrgvptdoC0i .

Hash password yang digunakan untuk mengekripsi container file tersebut ada di salah satu hash
di file kemungkinan_hash_pwd2.txt.

Dalam container veracrypt tersebut, setelah berhasil didekrip terdapat 3 file log dan satu file
dd dari USB yang didapatkan ketika petugas forensik menangani tentang kasus badak.

MD5 hash dari bukti digital yang ada adalah:

c0d0093eb1664cd7b73f3a5225ae3f30 *badak1.log

cd21eaf4acfb50f71ffff857d7968341 *badak2.log

7e29f9d67346df25faaf18efcd95fc30 *badak3.log

80348c58eec4c328ef1f7709adc56a54 *USB.dd

Tugas:

Temukan sedikitnya Sembilan gambar badak dari bukti yang ada dan sertakan dalam brief
forensic report.

Dalam laporan singkat tersebut, jawablah sebanyak mungkin pertanyaaan berikut:

1. Apa password yang digunakan untuk membuka container veracrypt? done

2. Siapa yang memberi akun telnet/ftp kepada tersangka? Diary done
3. Apa nama pengguna/kata sandi untuk akun tersebut? Log done
4. Transfer file apa yang relevan muncul di forensik jaringan? done
5. Apa yang terjadi pada hard drive di komputer? Dimana sekarang? Diary done
6. Apa yang terjadi pada kunci USB? Diary done
7. Apa yang dapat dipulihkan dari gambar dd tombol USB? 4 badak,
8. Apakah ada bukti yang menghubungkan kunci USB dan jejak jaringan? Jika begitu, apa?
Hasil Pemeriksaan dan Analisis
Forensik Digital Kasus Badak

AyubiWirara

MANAJEMEN KEAMANAN JARINGAN INFORMASI

UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA
PROGRAM PASCASARJANA
PROGRAM STUDI MAGISTER MANAJEMEN KEAMANAN JARINGAN
 Daftar Isi

I. Pendahuluan................................................................................................................. 4
1.1 Info Barang Bukti................................................................................................. 4

1.2 Tim dan Tools Digital Forensik ......................................................................... 4

1.3 Metodologi .......................................................................................................... 4

1. Identification, Collection and Acquititions (Identifikasi, Pengumpulan dan

Akusisi) .......................................................................................................................... 4
2. Preservation (Preservasi) ................................................................................... 5
3. Analysis (Analisis) ............................................................................................... 5
4. Presentation (Presentasi) ................................................................................... 5
II. Pelaksanaan Pemeriksaan.......................................................................................... 6
2.1 Identifikasi, Pengumpulan dan Akuisisi .......................................................... 6

2.2 Preservasi ............................................................................................................ 7

2.3 Analisis ................................................................................................................. 9

III. Penutup ....................................................................................................................... 22

3.1 Simpulan ............................................................................................................ 22

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 3 dari 26
I. Pendahuluan
1.1 Info Barang Bukti
Berdasarkan hasil investigasi ditemukan bukti terkait kasus badak oleh investigator.
Investigator menyerahkan barang bukti secara online melalui link
https://drive.google.com/open?id=1hJsDOKFSC6yd5ZI7kYmrIwrgvptdoC0i.

UKURAN
NO FILE KETERANGAN
FILE

1 TugasUAS_VC.dms 419,4 MB MD5 Hash:

e3bdec26a6880f56e1e9320b140ecff0

File Terenkripsi

1.2 Tim dan Tools Digital Forensik

Tim Digital Forensik :

Investigator : Yohan Suryanto

Analis Digital Forensik : Ayubi Wirara

Tools Digital Forensik dan Analisis:

1. DEFT OS,
2. Autopsy versi 4.13
3. Wireshark
4. Hash Calc
5. Veracrypt
6. Stegdetect
7. Kali Linux OS
8. JPHS
9. HXD

1.3 Metodologi
Tahapan yang dilakukan dalam rangka kegiatan pemeriksaan dan analisis forensik digital
terkait kasus badak adalah sebagai berikut:

1. Identification, Collection and Acquititions (Identifikasi, Pengumpulan dan Akusisi)

Pada tahap ini dilakukan identifikasi terhadap barang bukti digital yang terkait dengan
kasus. Pada tahap ini tim forensik digital juga menemukan barang bukti digital

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 4 dari 26
 tersebut terenkripsi sehingga meminta data dukung kepada investigator sehingga
barang bukti digital yang terenkripsi dapat dibuka.

2. Preservation (Preservasi)
Pada tahap ini dilakukan preservasi dengan teknik hashing pada semua barang bukti
digital yang didapatkan. Tahap ini bertujuan untuk menjaga integrity dari barang bukti
digital tersebut dari adanya tindakan perubahan data.

3. Analysis (Analisis)
Beberapa analisis terhadap hasil imaging akan dilakukan sesuai dengan kebutuhan
atau tujuan kegiatan pemeriksaan dengan teknik analisis yang antara lain:
a. Timeline analysis
b. String analysis
c. Data recovery analysis
d. Registry analysis
e. Log analysis

4. Presentation (Presentasi)
Pada tahap ini semua temuan atau hasil analisis terhadap bukti digital dituangkan
dalam bentuk laporan tertulis.

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 5 dari 26
II. Pelaksanaan Pemeriksaan
2.1 Identifikasi, Pengumpulan dan Akuisisi
Berdasarkan hasil identifikasi investigator, diketahui barang bukti elektronik tersebut
terenkripsi dengan menggunakan veracrypt. Veracrypt merupakan software enkripsi disk yang
open source. Berikut didapatkan sebuah file data dukung yang bisa digunakan untuk
membuka file TugasUAS_VC.dms.

UKURAN
NO FILE KETERANGAN
FILE

1 kemungkinan_hash_pwd2.txt 418 bytes -

File tersebut merupakan beberapa nilai hash yang diduga password yang digunakan untuk
crack file TugasUAS_VC.dms. berikut hasil crack hash password dengan menggunakan tools
online di https://hashkiller.co.uk.

Gambar 1 Hasil Crack Hash Password

Selanjutnya dilakukan proses dekripsi file TugasUAS_VC.dms dengan fungsi dekripsi dari
software veracrypt. Hasilnya password yang digunakan untuk dekripsi adalah password
“shadow#” sehingga file langsung mounting dalam komputer.

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 6 dari 26
 Gambar 2 Hasil Mounting Disk

Hasil mounting didapatkan empat file, yaitu: badak1.log berukuran 3.114KB, badak2.log
berukuran 286KB, badak3.log berukuran 221KB, dan usb.dd berukuran 253.424KB.

Gambar 3 Daftar File pada Disk

2.2 Preservasi

Preservasi dilakukan dengan men-generate nilai hash empat file. Berikut hasil
perhitungan nilai hash dari keempat file tersebut menggunakan HashCalc.

Gambar 4 Nilai Hash badak1.log

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 7 dari 26
 Gambar 5 Nilai Hash badak2.log

Gambar 6 Nilai Hash badak3.log

Gambar 7 Nilai Hash usb.dd

Berdasarkan pada gambar diatas, berikut nilai hash dari keempat file tersebut.
File Hash (MD5)
badak1.log c0d0093eb1664cd7b73f3a5225ae3f30
badak2.log cd21eaf4acfb50f71ffff857d7968341
badak3.log 7e29f9d67346df25faaf18efcd95fc30
usb.dd 80348c58eec4c328ef1f7709adc56a54

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 8 dari 26
2.3 Analisis
Analisis dilakukan untuk mendapatkan jejak digital yang terdapat di dalam keempat file
sehingga dapat menjawab semua pertanyaan.

a. Analisis Data usb.dd

Barang bukti digital usb.dd diekstrak dengan menggunakan tools Autopsy. Hasil
ekstraksi diperoleh beberapa file dan dapat dilakukan recovery.

Jenis File Jumlah Detail Status

Gambar 9 2 file format gif Deleted
7 file format jpg Deleted
Dokumen 125 1 file Ms.Word (.doc) Deleted
124 file Plain Text (.txt) 122 Deleted, 2 Exist

Dari 9 gambar yang berhasil dilakukan recovery, didapatkan 4 file gambar badak dan
5 gambar alligator. Berikut adalah keempat gambar badak tersebut.

Gambar 8 21-f0105848.jpg (MD5: ca03f2eed3db06a82a8a31b3a3defa24)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 9 dari 26
 Gambar 9 22-f0105864.jpg (MD5:ed870202082ea4fd8f5488533a561b35)

Gambar 10 23-f0106320.gif (MD5:76610b7bdb85e5f65e96df3f7e417a74)

Gambar 11 24-f0106344.gif (MD5:d03dc23d4ec39e4d16da3c46d2932d62)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 10 dari 26
 Sementara berikut adalah kelima gambar alligator.

Gambar 12 17-f0103512.jpg (MD5: ee67d8bef72f9b63fa93dc9ea1bb833a)

Gambar 13 18-f0103704.jpg (MD5: 4d37a1033450b8cc96ffd1564829d321)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 11 dari 26
 Gambar 14 19-f0104520.jpg (6bd0e9bd4fb4a738f9ca4c351a853281)

Gambar 15 20-f0105328.jpg (MD5:f1bbcd31cd33badc65ca3d1d781f57fa)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 12 dari 26
 Gambar 16 27-f0334536 (MD5:f1bbcd31cd33badc65ca3d1d781f57fa)

Selanjutnya analisis data recovery untuk file ms.word dimana file tersebut merupakan
catatan diary, file f0334472.doc (md5hash: 68059d3355f0138c9fdd7eaa75e7bc16).
Berikut adalah cuplikan menarik yaitu pada beberapa paragraf terakhir.

Gambar 17 Cuplikan dari File f0334472.doc

Berdasarkan Gambar 11 yang merupakan bagian dari diari diketahui beberapa hal
berikut.
1. Terdapat 10 gambar badak yang telah “disembunyikan”.
2. Hard drive dilempar ke sungai Mississippi
3. USB akan dilakukan format ulang
4. Merubah kata sandi akun gnome yang diberikan Jeremy yang dilakukan di Radio
Shack.

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 13 dari 26
 Analisis data recovery berikutnya adalah terdapat file berformat .txt (deleted) dengan
pengulangan kata. Isi kata yang diulang dari file – file berformat .txt tersebut adalah
kata “SORRY” dan “CHARLIE”. Sementara dua file .txt yang masih exist merupakan
resep masakan “gumbo”.
b. Analisis Data Log Jaringan
File badak1.log, badak2.log dan badak3.log merupakan log trafik jaringan. Ketiga file
log tersebut dibuka dengan menggunakan tools wireshark. Berikut beberapa yang
berhasil didapatkan.
- Diketahui akun ftp adalah USER gnome Password gnome123.

Gambar 18 USER dan PASS FTP Server

- Pemeriksaan pada file badak1.log dilakukan filtering dengan menggunakan filter

ftp. Hasil filter didapatkan dua trasnnfer file yang relevan, yaitu rhino1.jpg dan
rhino3.jpg sebagai berikut

Gambar 19 Stream file1.log dengan Filter “ftp”

Selanjutnya dilakukan follow TCP stream pada aktivitas tersebut dan diperoleh
stream dengan file signature JFIF yang merupakan signature untuk file jpeg/jpg.

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 14 dari 26
 Gambar 20 File Signature File JPEG/JPG Hasil Follow TCP Stream

Dilakukan save file dengan format raw sehingga diperoleh gambar rhino1.jpg dan
rhino3.jpg.

Gambar 21 rhino1.jpg (MD5: d5a83cde0131c3a034e5a0d3bd94b3c9)

Gambar 22 rhino3.jpg (MD5: b058218ea0060092d4e01ef3d7a3b815)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 15 dari 26
 - Masih menggunakan filter ftp, diperoleh juga transfer file contraband.zip. Setelah
dilakukan Follow TCP stream diperoleh file zip (file signature zip= PK..) dengan isi
file zip kemungkinan adalah file rhino2.jpg.

Gambar 23 Hasil Follow TCP Stream contraband.zip

Akan tetapi dibutuhkan password saat file zip tersebut diekstrak.

Gambar 24 Dibutuhkan Password untuk Ekstrak File contraband.zip

- Hasil analisis jaringan pada file badak2.log didapatkan dua gambar yang relevan
terkait kasus badak ini, yaitu rhino4.jpg dan rhino5.gif. Ekstrak dilakukan dengan
menjalankan File à Export Objects à HTTP. Berikut adalah hasil ekstrak objek
tersebut.

Gambar 25 rhino5.gif (MD5: 1e90b7f70b2ecb605898524a88269029)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 16 dari 26
 Gambar 26 rhino4.jpg (MD5: aa64102afff71b93ed61fb100af8d52a)

- Hasil analisis jaringan pada file badak3.log didapatkan 1 file yang relevan terkait
kasus badak ini, yaitu rhino.exe. File tersebut merupakan file Portable Executeble
untuk MS Windows 32 bit. Ekstrak dilakukan dengan menjalankan File à Export
Objects à HTTP. Berikut adalah hasil ekstrak objek tersebut.

Gambar 27 File rhino.exe Hasil Ekstrak Objek (MD5:)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 17 dari 26
 Gambar 28 Profile File rhino.exe

c. Data Recovery Analysis Zip Terpassword

Diketahui sebelumnya terdapat file contraband.zip yang diduga mengandung satu file
badak terproteksi oleh password. Proses crack password digunakan Kali Linux OS
dengan tools John The Ripper (JTR). Sebelum proses crack, dilakukan proses
ekstraksi (perubahan menjadi file yang dapat dibaca JTR) yaitu dengan menjalankan
zip2john.

Gambar 29 Proses Zip2John

Selanjutnya dilakukan proses cracking sehingga didapat password file zip, yaitu;
“monkey”.

Gambar 30 Hasil Crack File Zip

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 18 dari 26
 File dibuka dengan menggunakan password “monkey” diperoleh file gambar berikut.

Gambar 31 Gambar rhino2.jpg dari File contraband.zip (MD5: ed870202082ea4fd8f5488533a561b35)

File rhino2.jpg tersebut memiliki nilai hash yang sama dengan file gambar 22-
f0105864.jpg hasil recovery gambar dalam usb. Sehingga kedua gambar tersebut
saling berkorelasi / saling menghubungkan.
d. Data Recovery Analysis Lainnya
Hasil recovery yang telah dilakukan telah diperoleh 8 gambar badak, yaitu : 4 gambar
dalam usbdd dan 4 gambar badak pada log jaringan. Selanjutnya dilakukan deteksi
adanya penggunaan steganografi sehingga masih diperoleh gambar badak lainnya.
Hal ini diasumsikan karena dalam diary terdapat pesan “hid” yang mengkin merujuk
adanya penggunaan stegannografi. Target deteksi adalah 4 file gambar alligator
dengan menggunakan stegdetect yang terdapat pada DEFT OS. Berikut adalah hasil
deteksi steganografi.

Gambar 32 Hasil Stegdetect Semua File Gambar Alligator

Seperti yang telah ditunjukkan pada gambar 28 diatas diketahui terdapat dua buah
suspect gambar yang menggunakan steganografi, yaitu:
- File 18-f0103704.jpg terdeteksi menggunakan jphide
- File 19-f0104520.jpg (false positif)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 19 dari 26
 Kedua gambar yang terdeteksi mengandung file yang disisipkan dilakukan proses
ekstraksi (seek) dengan menggunakan software JPHS. File JPHS dibutuhkann
passpress untuk membukanya. Dari semua file yang belum terkait sama sekali adalah
dua file resep dengan judul “gumbo”. Didapatkan file 18-f0103704.jpg menggunakan
passpres “gumbo” sementara file 19-f0104520.jpg menggunakan passpres “gator”
(berkorespondensi dengan file gambar alligator).

Gambar 33 Hasil Ekstraksi (seek) Gambar

Diperoleh sebuah file hasil ekstraksi dan apabila di cek dengan HXD untuk melihat
signature-nya diperoleh file signature-nya adalah FFD8FFEI yang merupakan
signature untuk file JPG.

Gambar 34 File Signature dari File yang Diekstraksi

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 20 dari 26
 Hasil rename dengan format ekstensi JPG diperoleh gambar badak dari masing-
masing gambar 18-f0103704.jpg dan 19-f0104520.jpg.

Gambar 35 Hasil Ekstraksi Gambar 18-f0103704.jpg (MD5: 87018ef0cfdb91e818d92efeb9c19338)

Gambar 36 Hasil Ekstraksi Gambar 19-f0104520.jpg (MD5: 63a39823f80b321c2dcd112158b55011)

UNIVERSITAS INDONESIA RAHASIA Forensik Digital dan Jaringan

Page | 21 dari 26
III. Penutup
3.1 Simpulan
Berdasarkan hasil pemeriksaan dan analisis forensik digital dari barang bukti digital
didapatkan sekitar 10 gambar illegal badak. Empat gambar ditemukan langsung dalam usb
meskipun dalam kondisi deleted. Dua gambar diperoleh dengan cara mengekstrak dari
badak2.logd Dua gambar berikutnya merupakan gambar yang di transfer mennggunakan
telnet/ftp dari badak1.log. Pada badak1.log juga ditemukan satu gambar badak akan tetapi
telah terproteksi oleh password, akan tetapi hasil crack password didapatkan gambar tersebut
identik dengan salah satu gambar badak yang ditemukan dalam usb. Dua gambar sisannya
disembunyikan pelaku dengan Teknik steganografi dengan software JPHS.

Berdasarkan jejak digital pada log jaringan diketahui pelaku logon kedalam akun ftp
server dengan USER gnome PASS gnome123 yang sebelumnya diberikan oleh Jeremy
(berdasarkan file doc). Hasil pemeriksaan juga ditemukan keterkaitan antara bukti digital usb
dengan jaringan yaitu pada gambar badak yang diproteksi oleh password dalam zip.

Pelaku telah mencoba untuk menghancurkan dan menghilangkan barang bukti dengan
melempar hard drive ke sungai Mississippi dan memformat ulang usb (berdasarkan bukti
digital dari file doc). Pelaku juga mencoba untuk menyembunyikan barang bukti digital dengan
menggunakan teknik steganografi dan proteksi password dalam zip.