.
UNIVERSITAS INDONESIA
PROGRAM PASCASARJANA
PROGRAM STUDI MAGISTER MANAJEMEN
KEAMANAN JARINGAN INFORMASI
Terdapat sebuah image dd dan tiga file log yang diencryp menggunakan veracrypt. Container
veracrypt tersebut bisa didownload di
https://drive.google.com/open?id=1hJsDOKFSC6yd5ZI7kYmrIwrgvptdoC0i .
Hash password yang digunakan untuk mengekripsi container file tersebut ada di salah satu hash
di file kemungkinan_hash_pwd2.txt.
Dalam container veracrypt tersebut, setelah berhasil didekrip terdapat 3 file log dan satu file
dd dari USB yang didapatkan ketika petugas forensik menangani tentang kasus badak.
c0d0093eb1664cd7b73f3a5225ae3f30 *badak1.log
cd21eaf4acfb50f71ffff857d7968341 *badak2.log
7e29f9d67346df25faaf18efcd95fc30 *badak3.log
80348c58eec4c328ef1f7709adc56a54 *USB.dd
Tugas:
Temukan sedikitnya Sembilan gambar badak dari bukti yang ada dan sertakan dalam brief
forensic report.
AyubiWirara
UNIVERSITAS INDONESIA
PROGRAM PASCASARJANA
PROGRAM STUDI MAGISTER MANAJEMEN KEAMANAN JARINGAN
Daftar Isi
I. Pendahuluan................................................................................................................. 4
1.1 Info Barang Bukti................................................................................................. 4
Page | 3 dari 26
I. Pendahuluan
1.1 Info Barang Bukti
Berdasarkan hasil investigasi ditemukan bukti terkait kasus badak oleh investigator.
Investigator menyerahkan barang bukti secara online melalui link
https://drive.google.com/open?id=1hJsDOKFSC6yd5ZI7kYmrIwrgvptdoC0i.
UKURAN
NO FILE KETERANGAN
FILE
e3bdec26a6880f56e1e9320b140ecff0
File Terenkripsi
1. DEFT OS,
2. Autopsy versi 4.13
3. Wireshark
4. Hash Calc
5. Veracrypt
6. Stegdetect
7. Kali Linux OS
8. JPHS
9. HXD
1.3 Metodologi
Tahapan yang dilakukan dalam rangka kegiatan pemeriksaan dan analisis forensik digital
terkait kasus badak adalah sebagai berikut:
Page | 4 dari 26
tersebut terenkripsi sehingga meminta data dukung kepada investigator sehingga
barang bukti digital yang terenkripsi dapat dibuka.
2. Preservation (Preservasi)
Pada tahap ini dilakukan preservasi dengan teknik hashing pada semua barang bukti
digital yang didapatkan. Tahap ini bertujuan untuk menjaga integrity dari barang bukti
digital tersebut dari adanya tindakan perubahan data.
3. Analysis (Analisis)
Beberapa analisis terhadap hasil imaging akan dilakukan sesuai dengan kebutuhan
atau tujuan kegiatan pemeriksaan dengan teknik analisis yang antara lain:
a. Timeline analysis
b. String analysis
c. Data recovery analysis
d. Registry analysis
e. Log analysis
4. Presentation (Presentasi)
Pada tahap ini semua temuan atau hasil analisis terhadap bukti digital dituangkan
dalam bentuk laporan tertulis.
Page | 5 dari 26
II. Pelaksanaan Pemeriksaan
2.1 Identifikasi, Pengumpulan dan Akuisisi
Berdasarkan hasil identifikasi investigator, diketahui barang bukti elektronik tersebut
terenkripsi dengan menggunakan veracrypt. Veracrypt merupakan software enkripsi disk yang
open source. Berikut didapatkan sebuah file data dukung yang bisa digunakan untuk
membuka file TugasUAS_VC.dms.
UKURAN
NO FILE KETERANGAN
FILE
File tersebut merupakan beberapa nilai hash yang diduga password yang digunakan untuk
crack file TugasUAS_VC.dms. berikut hasil crack hash password dengan menggunakan tools
online di https://hashkiller.co.uk.
Selanjutnya dilakukan proses dekripsi file TugasUAS_VC.dms dengan fungsi dekripsi dari
software veracrypt. Hasilnya password yang digunakan untuk dekripsi adalah password
“shadow#” sehingga file langsung mounting dalam komputer.
Page | 6 dari 26
Gambar 2 Hasil Mounting Disk
Hasil mounting didapatkan empat file, yaitu: badak1.log berukuran 3.114KB, badak2.log
berukuran 286KB, badak3.log berukuran 221KB, dan usb.dd berukuran 253.424KB.
2.2 Preservasi
Preservasi dilakukan dengan men-generate nilai hash empat file. Berikut hasil
perhitungan nilai hash dari keempat file tersebut menggunakan HashCalc.
Page | 7 dari 26
Gambar 5 Nilai Hash badak2.log
Berdasarkan pada gambar diatas, berikut nilai hash dari keempat file tersebut.
File Hash (MD5)
badak1.log c0d0093eb1664cd7b73f3a5225ae3f30
badak2.log cd21eaf4acfb50f71ffff857d7968341
badak3.log 7e29f9d67346df25faaf18efcd95fc30
usb.dd 80348c58eec4c328ef1f7709adc56a54
Page | 8 dari 26
2.3 Analisis
Analisis dilakukan untuk mendapatkan jejak digital yang terdapat di dalam keempat file
sehingga dapat menjawab semua pertanyaan.
Dari 9 gambar yang berhasil dilakukan recovery, didapatkan 4 file gambar badak dan
5 gambar alligator. Berikut adalah keempat gambar badak tersebut.
Page | 9 dari 26
Gambar 9 22-f0105864.jpg (MD5:ed870202082ea4fd8f5488533a561b35)
Page | 10 dari 26
Sementara berikut adalah kelima gambar alligator.
Page | 11 dari 26
Gambar 14 19-f0104520.jpg (6bd0e9bd4fb4a738f9ca4c351a853281)
Page | 12 dari 26
Gambar 16 27-f0334536 (MD5:f1bbcd31cd33badc65ca3d1d781f57fa)
Selanjutnya analisis data recovery untuk file ms.word dimana file tersebut merupakan
catatan diary, file f0334472.doc (md5hash: 68059d3355f0138c9fdd7eaa75e7bc16).
Berikut adalah cuplikan menarik yaitu pada beberapa paragraf terakhir.
Berdasarkan Gambar 11 yang merupakan bagian dari diari diketahui beberapa hal
berikut.
1. Terdapat 10 gambar badak yang telah “disembunyikan”.
2. Hard drive dilempar ke sungai Mississippi
3. USB akan dilakukan format ulang
4. Merubah kata sandi akun gnome yang diberikan Jeremy yang dilakukan di Radio
Shack.
Page | 13 dari 26
Analisis data recovery berikutnya adalah terdapat file berformat .txt (deleted) dengan
pengulangan kata. Isi kata yang diulang dari file – file berformat .txt tersebut adalah
kata “SORRY” dan “CHARLIE”. Sementara dua file .txt yang masih exist merupakan
resep masakan “gumbo”.
b. Analisis Data Log Jaringan
File badak1.log, badak2.log dan badak3.log merupakan log trafik jaringan. Ketiga file
log tersebut dibuka dengan menggunakan tools wireshark. Berikut beberapa yang
berhasil didapatkan.
- Diketahui akun ftp adalah USER gnome Password gnome123.
Selanjutnya dilakukan follow TCP stream pada aktivitas tersebut dan diperoleh
stream dengan file signature JFIF yang merupakan signature untuk file jpeg/jpg.
Page | 14 dari 26
Gambar 20 File Signature File JPEG/JPG Hasil Follow TCP Stream
Dilakukan save file dengan format raw sehingga diperoleh gambar rhino1.jpg dan
rhino3.jpg.
Page | 15 dari 26
- Masih menggunakan filter ftp, diperoleh juga transfer file contraband.zip. Setelah
dilakukan Follow TCP stream diperoleh file zip (file signature zip= PK..) dengan isi
file zip kemungkinan adalah file rhino2.jpg.
- Hasil analisis jaringan pada file badak2.log didapatkan dua gambar yang relevan
terkait kasus badak ini, yaitu rhino4.jpg dan rhino5.gif. Ekstrak dilakukan dengan
menjalankan File à Export Objects à HTTP. Berikut adalah hasil ekstrak objek
tersebut.
Page | 16 dari 26
Gambar 26 rhino4.jpg (MD5: aa64102afff71b93ed61fb100af8d52a)
- Hasil analisis jaringan pada file badak3.log didapatkan 1 file yang relevan terkait
kasus badak ini, yaitu rhino.exe. File tersebut merupakan file Portable Executeble
untuk MS Windows 32 bit. Ekstrak dilakukan dengan menjalankan File à Export
Objects à HTTP. Berikut adalah hasil ekstrak objek tersebut.
Page | 17 dari 26
Gambar 28 Profile File rhino.exe
Selanjutnya dilakukan proses cracking sehingga didapat password file zip, yaitu;
“monkey”.
Page | 18 dari 26
File dibuka dengan menggunakan password “monkey” diperoleh file gambar berikut.
File rhino2.jpg tersebut memiliki nilai hash yang sama dengan file gambar 22-
f0105864.jpg hasil recovery gambar dalam usb. Sehingga kedua gambar tersebut
saling berkorelasi / saling menghubungkan.
d. Data Recovery Analysis Lainnya
Hasil recovery yang telah dilakukan telah diperoleh 8 gambar badak, yaitu : 4 gambar
dalam usbdd dan 4 gambar badak pada log jaringan. Selanjutnya dilakukan deteksi
adanya penggunaan steganografi sehingga masih diperoleh gambar badak lainnya.
Hal ini diasumsikan karena dalam diary terdapat pesan “hid” yang mengkin merujuk
adanya penggunaan stegannografi. Target deteksi adalah 4 file gambar alligator
dengan menggunakan stegdetect yang terdapat pada DEFT OS. Berikut adalah hasil
deteksi steganografi.
Seperti yang telah ditunjukkan pada gambar 28 diatas diketahui terdapat dua buah
suspect gambar yang menggunakan steganografi, yaitu:
- File 18-f0103704.jpg terdeteksi menggunakan jphide
- File 19-f0104520.jpg (false positif)
Page | 19 dari 26
Kedua gambar yang terdeteksi mengandung file yang disisipkan dilakukan proses
ekstraksi (seek) dengan menggunakan software JPHS. File JPHS dibutuhkann
passpress untuk membukanya. Dari semua file yang belum terkait sama sekali adalah
dua file resep dengan judul “gumbo”. Didapatkan file 18-f0103704.jpg menggunakan
passpres “gumbo” sementara file 19-f0104520.jpg menggunakan passpres “gator”
(berkorespondensi dengan file gambar alligator).
Diperoleh sebuah file hasil ekstraksi dan apabila di cek dengan HXD untuk melihat
signature-nya diperoleh file signature-nya adalah FFD8FFEI yang merupakan
signature untuk file JPG.
Page | 20 dari 26
Hasil rename dengan format ekstensi JPG diperoleh gambar badak dari masing-
masing gambar 18-f0103704.jpg dan 19-f0104520.jpg.
Page | 21 dari 26
III. Penutup
3.1 Simpulan
Berdasarkan hasil pemeriksaan dan analisis forensik digital dari barang bukti digital
didapatkan sekitar 10 gambar illegal badak. Empat gambar ditemukan langsung dalam usb
meskipun dalam kondisi deleted. Dua gambar diperoleh dengan cara mengekstrak dari
badak2.logd Dua gambar berikutnya merupakan gambar yang di transfer mennggunakan
telnet/ftp dari badak1.log. Pada badak1.log juga ditemukan satu gambar badak akan tetapi
telah terproteksi oleh password, akan tetapi hasil crack password didapatkan gambar tersebut
identik dengan salah satu gambar badak yang ditemukan dalam usb. Dua gambar sisannya
disembunyikan pelaku dengan Teknik steganografi dengan software JPHS.
Berdasarkan jejak digital pada log jaringan diketahui pelaku logon kedalam akun ftp
server dengan USER gnome PASS gnome123 yang sebelumnya diberikan oleh Jeremy
(berdasarkan file doc). Hasil pemeriksaan juga ditemukan keterkaitan antara bukti digital usb
dengan jaringan yaitu pada gambar badak yang diproteksi oleh password dalam zip.
Pelaku telah mencoba untuk menghancurkan dan menghilangkan barang bukti dengan
melempar hard drive ke sungai Mississippi dan memformat ulang usb (berdasarkan bukti
digital dari file doc). Pelaku juga mencoba untuk menyembunyikan barang bukti digital dengan
menggunakan teknik steganografi dan proteksi password dalam zip.