Tugas UAS
Scenario:
Terdapat sebuah image dd dan tiga file log yang diencryp menggunakan veracrypt. Container veracrypt
tersebut bisa didownload di
https://drive.google.com/open?id=1hJsDOKFSC6yd5ZI7kYmrIwrgvptdoC0i .
Hash password yang digunakan untuk mengekripsi container file tersebut ada di salah satu hash di file
kemungkinan_hash_pwd2.txt.
Dalam container veracrypt tersebut, setelah berhasil didekrip terdapat 3 file log dan satu file dd dari USB
yang didapatkan ketika petugas forensik menangani tentang kasus badak.
MD5 hash dari bukti digital yang ada adalah:
c0d0093eb1664cd7b73f3a5225ae3f30 *badak1.log
cd21eaf4acfb50f71ffff857d7968341 *badak2.log
7e29f9d67346df25faaf18efcd95fc30 *badak3.log
80348c58eec4c328ef1f7709adc56a54 *USB.dd
Tugas:
Temukan sedikitnya Sembilan gambar badak dari bukti yang ada dan sertakan dalam brief forensic report.
Dalam laporan singkat tersebut, jawablah sebanyak mungkin pertanyaaan berikut:
1. Apa password yang digunakan untuk membuka container veracrypt?
2. Siapa yang memberi akun telnet/ftp kepada tersangka?
3. Apa nama pengguna/kata sandi untuk akun tersebut?
4. Transfer file apa yang relevan muncul di forensik jaringan?
5. Apa yang terjadi pada hard drive di komputer? Dimana sekarang?
6. Apa yang terjadi pada kunci USB?
7. Apa yang dapat dipulihkan dari gambar dd tombol USB?
8. Apakah ada bukti yang menghubungkan kunci USB dan jejak jaringan? Jika begitu, apa?
Jawaban yang disubmit lebih awal (jika sama-sama lengkap dan benar) akan mendapatkan point yang lebih
tinggi.
DIGITAL FORENSIC
BRIEF REPORT
INVESTIGATOR: Yohan Suryanto
Dosen Dose
Digital Forensic
DIGITAL FORENSICS
EXAMINER: Nana Mulyana
Detective #1806245000
(021) 782-0696
A. Abstrak ............................................................................................................................................ 5
B. Pertanyaan yang sesuai dengan kasus.............................................................................................. 5
C. Rangkuman barang bukti................................................................................................................. 6
D. Perangkat Lunak yang digunakan ................................................................................................... 7
E. Analisa Barang bukti. ....................................................................................................................... 7
1. Ekstrasi Veracrypt Container ...................................................................................................................7
1.1. Dictionary Attack Hash Password Container ..............................................................................................................7
1.2. Ekstrak File Container Image ......................................................................................................................................8
2. Analisa file log network ........................................................................................................................... 10
2.1. Analisa badak1.log ....................................................................................................................................................10
2.1.1. Analisa Protokol FTP ...........................................................................................................................................11
2.1.2. Analisa Protokol HTTP ........................................................................................................................................13
2.1.3. Analisa Protokol Telnet ........................................................................................................................................16
2.2. Analisa badak2.log ....................................................................................................................................................16
2.2.1. Analisa Protokol HTTP ........................................................................................................................................17
2.3. Analisa badak3.log ....................................................................................................................................................18
2.3.1. Analisa Protokol HTTP ........................................................................................................................................18
3. Analisa file USB.dd .................................................................................................................................. 19
3.1. Analisa autopsy .........................................................................................................................................................19
4. Analisa Steganograpi ............................................................................................................................... 23
4.1. Analisa stegdetect ................................................................................................................................ 23
4.2. Analisa stegbreak ................................................................................................................................ 24
4.3. Proses Ekstraksi Menggunakan JPHS ..................................................................................................... 25
F. Kesimpulan analisa ........................................................................................................................ 26
G. Apendix Barang bukti .................................................................................................................... 27
1. Apendix barang bukti badak1.log ........................................................................................................... 27
2. Apendix barang bukti badak2.log ........................................................................................................... 29
3. Apendix barang bukti badak3.log ........................................................................................................... 31
4. Apendix barang bukti USB.dd ................................................................................................................ 32
5. Apendix barang bukti Stegano ................................................................................................................ 34
Digital Forensic Examination Report
Oleh : Nana Mulyana (1806245000)
A. Abstrak
Dalam laporan forensik ini, akan terdiri dari beberapa metode dan teknik yang
digunakan untuk dapat memastikan seluruh gambar badak yang masih mungkin
dipulihkan sehingga proses penyelidikan dapat dilakukan. Dalam proses forensik, saya
akan menggunakan beberapa perangkat lunak untuk memastikan tidak ada byte yang
diabaikan. Saya menggunakan perangkat lunak standar seperti Wireshark untuk analisis
log jaringan, Foremost dan FTK untuk mengukir data dari image USB.
Berdasarkan File Dokumen Word yang dipulihkan dari Images USB, menjelaskan
mengapa hard drive tidak ada di PC karena tersangka telah menghancurkan hard drive
dan dilemparkan ke sungai Mississippi.
Dari Images USB tersebut, ditemukan juga beberapa gambar badak dan gambar buaya,
serta beberapa file yang dipulihkan karena telah dihapus. Saya kemudian menggunakan
alat deteksi steganografi pada semua gambar yang dipulihkan untuk melihat apakah ada
lebih banyak gambar di dalam. Dua gambar terdeteksi mengandung gambar
tersembunyi. Jadi saya kemudian menggunakan stegbreak pada gambar untuk
mendapatkan gambar yang sebenarnya. Jumlah total gambar Badak dari gambar USB
adalah 6. Selanjutnya 3 log file jaringan dianalisis menggunakan Wireshark. Log berisi
lebih banyak gambar yang dikirim melalui FTP dan file zip yang dilindungi kata sandi.
Selain itu ditemukan juga dua buah email. Dari 3 log file tersebut dapat dipulihkan 5
gambar. Sehingga jumlah total gambar ilegal yang dipulihkan menjadi 11. Karena
terdapat dua gambar yang sama maka total ada 10 gambar unik.
Untuk kesimpulan yang lebih mendalam dapat ditemukan di akhir laporan
Setelah container diatas di ekstrak maka didapatkan barang bukti utama sebanyak 4
buah file, dengan meta data seperti berikut :
Dari hasil diatas kita dapatkan password dari hash yang ada seperti berikut ini :
Setelah dapat terbuka dan diakses, selanjutnya dilakukan pemeriksaan hash pada
seluruh file untuk memastikan integritas seperti dibawah ini.
Dari hasil diatas diketahui bahwa password file zip adalah “monkey”,
sehingga kita 4 File gambar dengan 2 file gambar yang sama (3 file gambar
yang unik).
Dear John,
I'll check the account later for the rhino stuff. I'm tied up for the moment
working on something
in the lab.
What's your social security number? I want to sign you up for a few Rhino
Lovers magazine
subscription.
Love,
Georgia
Pada aktifitas tersebut terlihat proses mengakses file gambar dengan nama
file rhino4.jpg dan rhino5.gif. Dikarenakan protocol yang digunakan
adalah HTTP, sehingga untuk mendapatkan object file yang diakses dapat
langsung dilakukan dengan cara mengexport object http.
Informasi selanjutnya yang bisa diambil adalah tedapat 4 jenis file yang berada
pada images USB berdasarkan MIME Type, serta 132 file yang telah dihapus
dari total 134 file yang ada pada images USB. File yang berada dalam dalam
images USB hanyalah file gumbo1.txt dan gumbo2.txt, dilihat berdasarkan
Flags(meta) yang statusnya adalah Allocated, sedangkan sisanya adalah
Unallocated.
Langkah selanjutnya adalah dicoba untuk memulihan seluruh file yang telah
dihapus serta mengambil file yang belum terhapus.
Setelah seluruh file dapat di pulihkan, dan telah dipastikan jumlah file sama
dengan yang terbaca oleh autopsy, langkah selanjutnya adalah melakukan
pengelompokan berdasarkan type file yang akan diperiksa agar mempermudah
proses forensic.
Selain itu, terdapat 1 file word yang isinya menarik, yang dapat disimpulkan
bahwa file tersebut merupakan catatan harian pemilik harddrive dan USB yang
telah di image. Dalam file tersebut disebutkan bahwa sang pemilik telah
diberikan user dan password gnome oleh “Jeremy”.
4. Analisa Steganograpi
Berdasarkan file doc yang telah dipulihkan, dikatakan jika diketemukan kurang dari
10 gambar badak maka artinya masih tidak masalah. Sedangkan dari proses yang
dijalankan hanya terdapat 9 gambar badak dan 5 gambar buaya, sehingga dapat
disimpulkan terdapat gambar yang disembunyikan dalam bentuk steganografi, hal
ini juga sejalan dengan yang dikatakan dalam file dokumen yaitu terdapat file
gambar yang di sembunyikan.
Dari hasil ini di dapati terdapat 2 file yang statusnya menarik perhatian, yaitu
file 17-f0103704.jpg yang setatusnya jphide dan 18-f0104520.jpg yang
statusnya skipped karena dianggap false positif.
F. Kesimpulan analisa
Setelah melalui seluruh proses forensic, dari forensic log jaringan, forensic image
USB, serta proses ekstraksi dengan steganografi, didapati 13 File Gambar badak,
diantaranya terdapat 2 gambar yang sama, sehingga hanya ada 11 gambar yang
unik.
Selain itu, beberapa pertanyaan di awalpun bisa terjawab sebagai beriku :
1. Apa password yang digunakan untuk membuka container veracrypt?
Jawab: shadow#
2. Siapa yang memberi akun telnet/ftp kepada tersangka?
Jawab: Jeremy, ini berdasarkan file doc yang merupakan catatan harian
tersangka.
3. Apa nama pengguna/kata sandi untuk akun tersebut?
Jawab: Nama penggunanya adalah gnome dan kata sandinya adalah gnome123
4. Transfer file apa yang relevan muncul di forensik jaringan?
Jawab: Terdapat 6 File yang di transfer, yang relevan dengan forensic jaringan,
yang terdiri dari 5 file gambar Badak dan 1 file aplikasi untuk memformat USB
Images.
5. Apa yang terjadi pada hard drive di komputer? Dimana sekarang?
Jawab: Harddrive di computer telah dihancurkan dan dibuang ke sungai
mississipi.
6. Apa yang terjadi pada kunci USB?
Jawab: USB telah diformat menggunakan aplikasi dengan nama file rhino.exe
yang merupakan aplikasi untuk melakukan editing dan format terhadap partisi.
7. Apa yang dapat dipulihkan dari gambar dd tombol USB?
Jawab : Terdapat 1 File Doc, 7 File Image dan 124 file txt yang dapat dipulihkan
dari image USB tersebut.
8. Apakah ada bukti yang menghubungkan kunci USB dan jejak jaringan? Jika
begitu, apa?
Jawab: Ada, yang menghubungkan adalah catatan harian yang ditulis tersangka.
Didalamnya menyebutkan perihal username dan password yang diberikan oleh
Jeremy, ini sejalan dengan aktifitas log telnet yang terdapat pada file log jaringan
dengan nama badak1.log