DIGITAL FORENSIC

REPORT
CASE #002

Labolatorium Forensika Digital SI Universitas Mulawarman

Examiner: Muhammad Dwi Refansyah
18 AUGUST 2021DIGITAL FORENSIC REPORT2
INFORMASI KASUS

< Pencurian dan mentransmisikan data

Nama Kasus
secara ilegal >

Nomor Kasus < 002 >

Pemilik Evidene < Ann Decover >

Jumlah Evidene <1>

Tanggal Awal Pemeriksaan < 05-Oktober-2023 >

Tanggal Akhir Pemeriksaan < 08-Oktober-2023 >

TIM PEMERIKSA

Nama Tim Pemeriksa Jabatan

1. < Muhammad Dwi Refansyah> Ketua Tim

2. < nama anggota tim> Anggota Tim

PENDAHULUAN

LATAR BELAKANG

{berisi latar belakang kasus/kegiatan yang diterima pemeriksa}

Perusahaan Anarchy-R-Us, Inc. Mencurigai seorang karyawannya yang bernama Ann

Dercover, dia dicurigai sebagai corporate spy yang mencuri data penting perusahaan.
Ann telah mengakses aset berharga milik perusahaan Anarchy-R-Us, Inc. Staff
keamanan khawatir Ann akan membocorkan data tersebut sehingga dilakukan
monitoring terhadap aktivitas lalu lintas internet Ann Dercover.

Dia telah tertangkap namun dibebaskan dengan jaminan atau disebut penangguhan
penahanan. Dalam masa penangguhan tersebut, Ann Dercover pergi menghilang,
Sebelum pergi, Ann Sempat melakukan komunikasi melalui jaringan internetnya yang
berhasil disadap oleh investigator kasus.

18 AUGUST 2021DIGITAL FORENSIC REPORT3

Pada capture traffic terlihat bahwa IP yang dipakai oleh Ann adalah 192.168.1.159 yang
dipakai untuk mengirim sebuah pesan menggunakan jaringan wireless pada laptop,
namun setelah itu laptop yang dipakai oleh Ann Dercorver hilang. Investigator meminta
kepada Labolatorium Forensika Digital SI Universitas Mulawarman untuk menganalisis
file packet capture mengenai komunikasi Ann via jaringan internetnya, bertujuan untuk
dapat menjawab pertanyaan yang diajukan oleh investigator mengenai lokasi
keberadaan Ann Decover.

DASAR

{berisi dasar pemeriksaan tim pemeriksa yang terdiri dari permintaan atau laporan
monitoring/insiden siber, dan surat perintah berupa pointer}

Pemohon : Investigator kasus

Pihak penerima : Labolatorium Forensika Digital SI Universitas Mulawarman

Waktu : Kamis, 05 Oktober 2023, pkl. 09.00 WITA

No Kasus : 002

TUJUAN

{berisi tujuan dilakukan pemeriksaan oleh tim pemeriksa}

Menetapkan tersangka kasus pencurian data perusahaan dalam hal ini yang dicurigai
adalah Ann Dercover dengan menghadirkan bukti-bukti digital yang sah dan akurat

RUANG LINGKUP / DISCLAIMER

{berisi ruang lingkup pemeriksaan oleh tim pemeriksa. Contoh: pemeriksaan hanya
dilakukan pada lingkup hardisk}

Pemeriksaan dilakukan pada lingkup flashdisk/USB Drive berisikan file berekstensi .pcap
yang merupakan file traffic jaringan komunikasi internet di laptop yang digunakan Ann
Dercover

METODOLOGI

Metodologi yang digunakan dalam proses Pemeriksaan Forensik Digital mengacu pada:
● NIJ: Electronic Crime Scene Investigation: A Guidee for First Responders [2002]
● NIST: Guide to Integrating Forensic Techniques into Incident Response [2006]
● ACPO: Good Practice Guide for Computer Based Evidence [2007].
Metodologi ini terdiri dari 4 (empat) tahap, yaitu Collection, Examination, Analysis, dan
Report.

18 AUGUST 2021DIGITAL FORENSIC REPORT4

COLLECTION
{berisi deskripsi identifikasi, pengumpulan, pelabelan, perekaman, perolehan dan
pengecekan sumber-sumber yang berpotensi sebagai evidence termasuk data
investigasi dengan tetap mengacu pada prosedur integritas evidence}

EVIDENCE

{berisi deskripsi evidence}

serial number merk model kapasitas

01 KingStone Flashdisk 8Gb

Barang bukti yang diterima berupa sebuah flashdisk merk KingStone 8GB berisikan file
evidence02.pcap

DATA INVESTIGASI

{berisi data investigasi berupa deskripsi atau kronologis kejadian}

Adapun prosedur pemeriksaan yang dilakukan yaitu :

• Menganalisis IP addres lalu lintas jaringan pada sistem operasi Linux

menggunakan Tcpflow
• Hasil Tcpflow diekstraksi untuk kemudian dilakukan pemeriksaan terhadap
barang bukti digital dengan nama file evidence02.pcap.
• Ekstraksi dan pemeriksaan barang bukti menggunakan software Wireshark
4.0.8.0 dengan sistem operasi Kali Linux v2.6 64bit.
• Memeriksa dan menganalisis file evidence02.pcap kemudian melakukan
screenshot hasil temuan sesuai dengan target informasi yang diinginkan.
• Membuat laporan dari hasil investigasi yang dilakukan

EXAMINATION
{berisi deskripsi proses akuisisi bit per bit evidence, tools, forensic backup, ekstrak data,
dan preserve evidence berupa nilai hash evidences dengan tetap mengacu pada
prosedur integritas data }

18 AUGUST 2021DIGITAL FORENSIC REPORT5

IMAGING

{berisi deskripsi imaging evidence}

HASHING

{berisi deskripsi hashing}

ANALYSIS
{berisi deskripsi identifikasi tools dan Teknik analisis yang digunakan terhadap hasil
tahapan examination, data proses, root cause, dan interpretasi hasil analisis. Temuan
dengan nilai positif dan negatif harus dicantumkan dengan penggunaan bahasa
“Ditemukan” dan “Tidak ditemukan”} analisis event, analisis metadata, analisis string,
analisis log

ANALISIS METADATA (OPTIONAL)

{berisi deskripsi analisis metadata}

s.id/labforid/admin/login.php > nilai hash

ANALISIS STRING (OPTIONAL)

keyword yang digunakan adalah user “digital”

REPORT
Pada tahap Report ini, semua temuan dan hasil analisis Pemeriksaan Forensik Digital
dipresentasikan dan/atau dilaporkan dalam bentuk Dokumen Elektronik.

KESIMPULAN
Berdasarkan hasil Pemeriksaan Forensik Digital terhadap kasus Ann Decover telah
ditemukan sejumlah fakta bahwa Ann Dercover telah melakukan pencurian data
perusahaan. Pemeriksaan dan analisis dilakukan dengan menggunakan sistem operasi
Kali Linux v2.6 dan software Wireshark. Hasil analisis berhasil menemukan semua
informasi yang diperlukan.

18 AUGUST 2021DIGITAL FORENSIC REPORT6

REKOMENDASI (OPTIONAL)
Berdasarkan kesimpulan Tim Pemeriksa pada Pemeriksaan Forensik Digital maka dapat
direkomendasikan, sebagai berikut:
1. Perlu dilakukan …

PENGESAHAN

Mengetahui
KETUA TIM/PEMERIKSA
ATASAN (Optional)

Muhammad Dwi Refansyah

LAMPIRAN
{ berisi lampiran-lampiran seperti screenshot pendukung evidence, sp, bast dokumen
coc, dan lainnya }

Skenario 1 Alamat IP

Hasil dari TCPFLOW

1. Terdapat 4 alamat IP yang diduga berkomunikasi

1. 064.012.102.142.00587-192.168.001.159.01036
2. 064.012.102.142.00587-192.168.001.159.01038
3. 192.168.001.159.01036-064.012.102.142.00587
4. 192.168.001.159.01038-064.012.102.142.00587

18 AUGUST 2021DIGITAL FORENSIC REPORT7

 Alamat 1

Alamat 2

18 AUGUST 2021DIGITAL FORENSIC REPORT8

 Alamat 3 ke (1)

Alamat 3 ke (2)

18 AUGUST 2021DIGITAL FORENSIC REPORT9

 Alamat 4 ke (1)

Alamat 4 ke (2)

18 AUGUST 2021DIGITAL FORENSIC REPORT10

 Alamat 4 ke (3)

18 AUGUST 2021DIGITAL FORENSIC REPORT11

 Alamat 4 ke (4)

18 AUGUST 2021DIGITAL FORENSIC REPORT12

 • Dari hasil pemeriksaan file hasil ekstraksi tcpflow, diketahui bahwa alamat email
Ann adalah sneakyg33k@aol.com dilihat dari file “192.168.001.159.01036-
064.012.102.142.00587”dan file “192.168.001.159.01038
064.012.102.142.00587“.
• Kedua file tersebut adalah file yang berisi komunikasi dari IP source
192.168.1.159 ke IPaddress 64.12.102.142.

18 AUGUST 2021DIGITAL FORENSIC REPORT13

Skenario 2 - Email password

Buka Aplikasi Wireshark, dan folder forensik

ip.src==192.168.1.159 && Ip.addr==64.12.102.142. Mencari ip address

seperti berikut :

18 AUGUST 2021DIGITAL FORENSIC REPORT14

 Data ini yang akan kita Deksip Isinya

Hasil tcp stream

Terlihat bahwa autentikasi email menggunakan PLAIN SMTP, yaitu username dan
password email plain-text yang di-encode dengan base64. Lihat “AUTH LOGIN“.
Karakter-karakter tersebut adalah sebagai berikut:

1)VXNlcm5hbWU6

2)c25lYWt5ZzMza0Bhb2wuY29t

3)UGFzc3dvcmQ6

4)NTU4cjAwbHo=

18 AUGUST 2021DIGITAL FORENSIC REPORT15

2. Password Email Ann ?
Lakukan decode dengan base64 :

Diketahui password email dari Ann Decover adalah :

558r00lz

18 AUGUST 2021DIGITAL FORENSIC REPORT16

Skenario 3 – Email yang melakukan komunikasi dan Email Mrs.x

3. Apa saja alamat email yang melakukan komunikasi dan email milik
kekasih Ann (Mrs. X)?
Alamat email yang terlibat dalam komunikasi network Ann adalah sebagai berikut:

sneakyg33k@aol.com
sec558@gmail.com
mistersecretx@aol.com

Jika dilihat dari isi email-nya, Ann menulis Namanya di setiap akhir email. Email-email
tersebut dikirim oleh sneakyg33k@aol.com.

Jadi, alamat email Ann adalah sneakyg33k@aol.com

Memeriksa file hasil ekstraksi tcpflow, mencari alamat email yang terlibat dalam
komunikasi network milik Ann.

Email yang melakukan komunikasi :

A. Pada file “192.168.001.159.01036-064.012.102.142.00587”

sneakyg33k@oal.com melakukan komunikasi ke sec558@gmail.com

berisi percakapan :

Sorry—I can’t do lunch next week after all. Heading out of town. =Another Time! -
Ann

B. Pada file “192.168.001.159.01038-064.012.102.142.00587”

sneakyg33k@oal.com melakukan komunikasi ke mistersecretx@aol.com

berisi percakapan :

Hi sweetheart! Bring your fake passport and a bathing suit. Address =attached. love,
Ann

4. Dari isi email tersebut, dapat diasumsikan bahwa Ann mengirim email
tersebut kepada kekasihnya (Mrs. X). Email tersebut dikirim ke alamat
mistersecretx@aol.com.

Jadi, alamat email kekasihAnn (Mrs. X) adalah mistersecretx@aol.com.

18 AUGUST 2021DIGITAL FORENSIC REPORT17

Skenario 4 – File attachment

5. Apa nama file attachment yang dikirimkan Ann kepada kekasihnya ?

Dapat diketahui bahwa file yang dikirimkan bernama :

Memeriksa secara lengkap file hasil ekstraksi tcpflow“192.168.001.159.01038-

064.012.102.142.00587” yang berisi email kiriman Ann kepada kekasihnya.

Mengecek data file secretrendezvous.txt melalui vim

Ketikkan pada paling bawah pada VIM :set number

18 AUGUST 2021DIGITAL FORENSIC REPORT18

Terlihat bahwa karakter UEsDBBQABg…dimulai pada baris ke-1 dan karakter akhir
AA0ADQBEAwAA9CYDAAAA ada pada baris ke-3640.
Jadi,karakter yang diambil adalah pada baris ke-2 sampai dengan baris ke-
3641,kemudian dihilangkan karakter enter nya agar semua karakter tersambung dan
tidak ada penggunaan baris baru. Hasilnya diletakkan di file temporary dalam bentuk
encoded bernama“secretrendezvous.encoded”(file yang belum di-decode).

dan masukkan hasil akhirnya ke file “secretrendezvous.docx“.

18 AUGUST 2021DIGITAL FORENSIC REPORT19

Maka tampilan filenya akan menjadi seperti berikut :

18 AUGUST 2021DIGITAL FORENSIC REPORT20

Skenario 6 – Lokasi Bertemu

6. Dimana Lokasi Mereka Bertemu ?

Buka file “secretrendezvous.docx“. di MsWord, Maka akan mendapatkan lokasi dimana

mereka bertemu.

Meet me at the fountain near the rendezvous point. Address below. I’m bringing all the cash.

Mereka bertemu di “Playa del Carmen”

18 AUGUST 2021DIGITAL FORENSIC REPORT21