Puzzle #1 Solution: Ann’s Bad AIM
Video ini memberikan petunjuk untuk menyelesaikan puzzle 1 dari http://forensicscontest.com/puzzles
Pendahuluan
Ada seseorang bernama Ann Dercover bekerja pada perusahaan yang bernama Anarchy-R-Us, Inc. Namun, perusahaan menaruh curiga kepada Ann. Ann memiliki akses ke resep rahasia perusahaan. Staff keamanan mencurigai Ann kalau kalau si Ann membocorkan rahasia perusahaan.
Staff keamanan memonitor perlakuan Ann, tapi tidak ada hal mencurigakan sampai saat ini. Hingga tiba – tiba ada sebuah laptop yang muncul di jaringan perusahaan, dan IP Ann (192.168.1.158) mengirim IMs ke laptop tersebut. Laptop tersebut tiba – tiba menghilang sesaat setelah IMs selesai dikirim.
Staff keamanan berhasil mengcapture paket yang dikirim dari komputer Ann, dan mereka meminta penulis untuk menganalisis paket tersebut.
evidence file: http://forensicscontest.com/contest01…
Pertanyaan:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Pembahasan
Pertanyaan 1
Hal pertama yang harus dilakukan adalah melihat jenis paket apa saja yang ada di wireshark. Ketika kita scroll, akan terlihat tampilan berikut
Pada kolom Protocol, ada protokol ARP, TCP, dan SSL.
Dari analisis staff keamanan, diketahui bahwa protokol yang dipakai adalah AIM yang bekerja di port 443. Secara default, wireshark akan menganggap port 443 adalah port SSL. Oleh karena itu, kita ganti dulu SSL di wireshark menjadi protokol AIM dengan cara:
- Klik kanan paket SSL nya
- Klik Decode As
- Pilih AIM
Setelah di klik apply, maka tampilan wireshark akan menjadi seperti berikut
Terlihat pada kolom protokol, SSL telah berubah menjadi AIM. Tujuan perubahan ini agar paket AIM dapat terbaca.
Kita perhatikan paket nomor 25….
Terlihat ada kata – kata Outgoing to: Sec558user1. Sec558user1 adalah user AIM dari Ann. Terjawab pertanyaan nomor 1 🙂
Pertanyaan 2
Pada paket yang sama, kita dapat melihat text message yang ada pada paket tersebut. Lihat screenshoot di bawah ini.
Ada kalimat Here’s the secret recipe…. Kalimat tersebut adalah kalimat yang dikirim Ann ke pelaku. Terjawab pertanyaan 2 🙂
Pertanyaan 3
Untuk mencari nama file yang dikirim, ketikkan perintah berikut di terminal
strings evidence01.pcap | grep -A 2 ‘OFT2’
Adapun penjelasan fungsi dari perintah di atas sebagai berikut:
- strings: Untuk memunculkan semua string yang ada di file evidence01.pcap
- grep -A 2 ‘OFT2’: untuk memunculkan 2 string sebelum dan sesudah baris string yang mengandung kata ‘OFT2’
Ketika perintah dijalankan, maka akan dihasilkan output berikut:
OFT2
Cool FileXfer
recipe.docx
—
OFT2
7174647
Cool FileXfer
—
OFT2
7174647
Cool FileXfer
Dari hasil tersebut, terlihat ada nama file recipe.docx. Nama file tersebut adalah nama file yang dikirim oleh Ann. Terjawab pertanyaan 3 🙂
Pertanyaan 4
Untuk mencari magic number, kita search di mesin pencari, apakah magic number dari docx. Magic number tersebut dapat ditemukan di website sini. Magic number tersebut adalah 50 4B 03 04. Terjawab pertanyaan 4 🙂
Pertanyaan 5
Untuk mencari file yang diinginkan, ada 2 cara yang dapat dilakukan.
Cara pertama adalah langkah berikut dijalankan melalui terminal:
- tshark -Y ‘ip.addr eq 192.168.1.158’ -r evidence.pcap -w newev.pcap
- ngrep -I newev.pcap ‘OFT2.*Cool FileXfer’ src port 5190 | grep ‘T ‘
- tshark -Y ‘(ip.addr eq 192.168.1.159 and ip.addr eq 192.168.1.158) and (tcp.port eq 1272 and tcp.port eq 5190)’ -r newev.pcap -w OFT2CONV.pcap
- tcpflow -r OFT2CONV.pcap ‘src port 5190’
- mv 192.168.001.158.05190-192.168.001.159.01272 payload1
- xxd -ps payload1 > hex1
- search for “504b0304” yang pertama, dan hapus semua huruf sebelum 504b, lalu simpan
- xxd -r -ps hex1 > recipe.docx
- md5sum recipe.docx
Cara di atas adalah cara yang ada di video. namun berhubung terlalu panjang jika dijelaskan 1 per 1, maka ada lagi cara yang kedua yang memakai wireshark GUI.
Hal pertama yang harus dilakukan adalah menemukan paket yang berasal dari IP 192.168.1.158. IP tersebut adalah IP dari komputer Ann. Untuk mencarinya, ketikkan ip.addr eq 192.168.1.158 di filter wireshark seperti berikut
Setelah kita mendapatkan hasil filternya, hal berikutnya adalah kita cari paket yang kolom length nya cukup besar. Hal ini dikarenakan yang kita cari adalah paket yang mengirim file. Oleh karena itu, kita butuh panjang paket yang besar juga.
Setelah kita scroll hasil filter, maka akan ditemukan paket nomor 119 dengan panjang paket 1514 seperti gambar berikut
Kita klik kanan file tersebut, dan klik Follow TCP Stream. Hasilnya seperti berikut.
Pada dropdown Entire conversation, kita ganti dari
menjadi berikut
klik save as, dan kita simpan dengan nama payload1
File payload1 adalah file binary dari paket yang dikirim. Untuk membacanya sebagai docx, maka kita harus menghapus “binary sampah” yang ada di file payload1. Untuk melakukannya, ada beberapa langkah di terminal hingga file docx berhasil didapatkan. Ikuti langkah berikut.
- xxd -ps payload1 > hex1
Untuk mengubah file binary menjadi file txt yang dapat dibaca gedit
- gedit hex1
- Buka aplikasi gedit yang muncul
- Cari 504b yang pertama kali dari file hex1
- Hapus semua karakter sebelum 504b
Bertujuan untuk menghapus binary yang tidak diperlukan
- simpan filenya
- Kembali ke terminal
- xxd -r -ps hex1 > recipe.docx
Untuk mengubah file txt menjadi binary kembali, yang mana binary kali ini adalah file docx yang kita cari.
Sampai pada langkah ini, file docx berhasil kita dapatkan. Lakukan md5sum recipe.docx, dan terjawablah soal 5 🙂
Pertanyaan 6
Untuk melihat isi dari recipe.docx, sebenarnya bisa saja file tersebut langsung dibuka menggunakan aplikasi office, namun cara ini kurang aman. Lebih aman jika kita memakai cara berikut untuk mengetahui isi dari file docx.
Perlu diketahui bahwa file docx sebenarnya adalah file zip biasa. Maka untuk membukanya, tinggal kita unzip seperti gambar berikut:
dan jalankan perintah sed -e ‘s/<[^>]*>//g’ word/document.xml di terminal
Terjawablah pertanyaan terakhir 🙂
Silahkan lihat video ini untuk lebih jelasnya
Kesimpulan
Ternyata memang benar bahwa Ann mengirim resep rahasia perusahaan ke orang lain melalui AIM.
Referensi:
https://jsaxton.com/fun-with-wireshark-and-aim/
http://forensicscontest.com/contest01/Finalists/Amar_Yousif/sol.txt
http://www.garykessler.net/library/file_sigs.html
Sekilas Penulis
Penulis adalah seorang mahasiswa yang bernama Akhmad Fakhoni Listiyan Dede, yang sedang menimba ilmu di Institut Teknologi Bandung. Jurusan yang penulis pilih adalah Informatika. NIM yang didapatkan oleh penulis dari ITB adalah 13513601.
Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook