Categories: Forensic Digital

Puzzle #1 Solution: Ann’s Bad AIM

Video ini memberikan petunjuk untuk menyelesaikan puzzle 1 dari http://forensicscontest.com/puzzles

Pendahuluan

Ada seseorang bernama Ann Dercover bekerja pada perusahaan yang bernama Anarchy-R-Us, Inc. Namun, perusahaan menaruh curiga kepada Ann. Ann memiliki akses ke resep rahasia perusahaan. Staff keamanan mencurigai Ann kalau kalau si Ann membocorkan rahasia perusahaan.

Staff keamanan memonitor perlakuan Ann, tapi tidak ada hal mencurigakan sampai saat ini. Hingga tiba – tiba ada sebuah laptop yang muncul di jaringan perusahaan, dan IP Ann (192.168.1.158) mengirim IMs ke laptop tersebut. Laptop tersebut tiba – tiba menghilang sesaat setelah IMs selesai dikirim.

Staff keamanan berhasil mengcapture paket yang dikirim dari komputer Ann, dan mereka meminta penulis untuk menganalisis paket tersebut.

evidence file: http://forensicscontest.com/contest01…

Pertanyaan:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

Pembahasan

Pertanyaan 1

Hal pertama yang harus dilakukan adalah melihat jenis paket apa saja yang ada di wireshark. Ketika kita scroll, akan terlihat tampilan berikut

Pada kolom Protocol, ada protokol ARP, TCP, dan SSL.

Dari analisis staff keamanan, diketahui bahwa protokol yang dipakai adalah AIM yang bekerja di port 443. Secara default, wireshark akan menganggap port 443 adalah port SSL. Oleh karena itu, kita ganti dulu SSL di wireshark menjadi protokol AIM dengan cara:

  1. Klik kanan paket SSL nya
  2. Klik Decode As
  3. Pilih AIM

Setelah di klik apply, maka tampilan wireshark akan menjadi seperti berikut

Terlihat pada kolom protokol, SSL telah berubah menjadi AIM. Tujuan perubahan ini agar paket AIM dapat terbaca.

Kita perhatikan paket nomor 25….

Terlihat ada kata – kata Outgoing to: Sec558user1. Sec558user1 adalah user AIM dari Ann. Terjawab pertanyaan nomor 1 🙂


 

Pertanyaan 2

Pada paket yang sama, kita dapat melihat text message yang ada pada paket tersebut. Lihat screenshoot di bawah ini.

Ada kalimat Here’s the secret recipe…. Kalimat tersebut adalah kalimat yang dikirim Ann ke pelaku. Terjawab pertanyaan 2 🙂


Pertanyaan 3

Untuk mencari nama file yang dikirim, ketikkan perintah berikut di terminal

strings evidence01.pcap | grep -A 2 ‘OFT2’

Adapun penjelasan fungsi dari perintah di atas sebagai berikut:

  1. strings: Untuk memunculkan semua string yang ada di file evidence01.pcap
  2. grep -A 2 ‘OFT2’: untuk memunculkan 2 string sebelum dan sesudah baris string yang mengandung kata ‘OFT2’

Ketika perintah dijalankan, maka akan dihasilkan output berikut:

OFT2
Cool FileXfer
recipe.docx

OFT2
7174647
Cool FileXfer

OFT2
7174647
Cool FileXfer

Dari hasil tersebut, terlihat ada nama file recipe.docx. Nama file tersebut adalah nama file yang dikirim oleh Ann. Terjawab pertanyaan 3 🙂


 

Pertanyaan 4

Untuk mencari magic number, kita search di mesin pencari, apakah magic number dari docx. Magic number tersebut dapat ditemukan di website sini. Magic number tersebut adalah 50 4B 03 04. Terjawab pertanyaan 4 🙂


Pertanyaan 5

Untuk mencari file yang diinginkan, ada 2 cara yang dapat dilakukan.

Cara pertama adalah langkah berikut dijalankan melalui terminal:

  1. tshark -Y ‘ip.addr eq 192.168.1.158’ -r evidence.pcap -w newev.pcap
  2. ngrep -I newev.pcap ‘OFT2.*Cool FileXfer’ src port 5190 | grep ‘T ‘
  3. tshark -Y ‘(ip.addr eq 192.168.1.159 and ip.addr eq 192.168.1.158) and (tcp.port eq 1272 and tcp.port eq 5190)’ -r newev.pcap -w OFT2CONV.pcap
  4. tcpflow -r OFT2CONV.pcap ‘src port 5190’
  5. mv 192.168.001.158.05190-192.168.001.159.01272 payload1
  6. xxd -ps payload1 > hex1
  7. search for “504b0304” yang pertama, dan hapus semua huruf sebelum 504b, lalu simpan
  8. xxd -r -ps hex1 > recipe.docx
  9. md5sum recipe.docx

Cara di atas adalah cara yang ada di video. namun berhubung terlalu panjang jika dijelaskan 1 per 1, maka ada lagi cara yang kedua yang memakai wireshark GUI.

Hal pertama yang harus dilakukan adalah menemukan paket yang berasal dari IP 192.168.1.158. IP tersebut adalah IP dari komputer Ann. Untuk mencarinya, ketikkan ip.addr eq 192.168.1.158 di filter wireshark seperti berikut

Setelah kita mendapatkan hasil filternya, hal berikutnya adalah kita cari paket yang kolom length nya cukup besar. Hal ini dikarenakan yang kita cari adalah paket yang mengirim file. Oleh karena itu, kita butuh panjang paket yang besar juga.

Setelah kita scroll hasil filter, maka akan ditemukan paket nomor 119 dengan panjang paket 1514 seperti gambar berikut

Kita klik kanan file tersebut, dan klik Follow TCP Stream. Hasilnya seperti berikut.

Pada dropdown Entire conversation, kita ganti dari

menjadi berikut

klik save as, dan kita simpan dengan nama payload1

File payload1 adalah file binary dari paket yang dikirim. Untuk membacanya sebagai docx, maka kita harus menghapus “binary sampah” yang ada di file payload1. Untuk melakukannya, ada beberapa langkah di terminal hingga file docx berhasil didapatkan. Ikuti langkah berikut.

  • xxd -ps payload1 > hex1

Untuk mengubah file binary menjadi file txt yang dapat dibaca gedit

  • gedit hex1
  • Buka aplikasi gedit yang muncul
  • Cari 504b yang pertama kali dari file hex1
  • Hapus semua karakter sebelum 504b

Bertujuan untuk menghapus binary yang tidak diperlukan

  • simpan filenya
  • Kembali ke terminal
  • xxd -r -ps hex1 > recipe.docx

Untuk mengubah file txt menjadi binary kembali, yang mana binary kali ini adalah file docx yang kita cari.

Sampai pada langkah ini, file docx berhasil kita dapatkan. Lakukan md5sum recipe.docx, dan terjawablah soal 5 🙂


 

Pertanyaan 6

Untuk melihat isi dari recipe.docx, sebenarnya bisa saja file tersebut langsung dibuka menggunakan aplikasi office, namun cara ini kurang aman. Lebih aman jika kita memakai cara berikut untuk mengetahui isi dari file docx.

Perlu diketahui bahwa file docx sebenarnya adalah file zip biasa. Maka untuk membukanya, tinggal kita unzip seperti gambar berikut:

dan jalankan perintah sed -e ‘s/<[^>]*>//g’ word/document.xml di terminal

Terjawablah pertanyaan terakhir 🙂

Silahkan lihat video ini untuk lebih jelasnya

Kesimpulan

Ternyata memang benar bahwa Ann mengirim resep rahasia perusahaan ke orang lain melalui AIM.

Referensi:

https://jsaxton.com/fun-with-wireshark-and-aim/
http://forensicscontest.com/contest01/Finalists/Amar_Yousif/sol.txt
http://www.garykessler.net/library/file_sigs.html

Sekilas Penulis

Penulis adalah seorang mahasiswa yang bernama Akhmad Fakhoni Listiyan Dede, yang sedang menimba ilmu di Institut Teknologi Bandung. Jurusan yang penulis pilih adalah Informatika. NIM yang didapatkan oleh penulis dari ITB adalah 13513601.

Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook

Akhmad Fakhoni Listiyan Dede

Share
Published by
Akhmad Fakhoni Listiyan Dede

Recent Posts

Mengimplementasikan AI untuk Melakukan Review pada Pull Request Github

Halo semua Github memiliki fitur terkait Pull Request yang cukup luar biasa, yaitu dapat melakukan…

6 months ago

Install kubernetes cluster using kubeadm

Hello everyone! 👋 Welcome to our step-by-step guide on using kubeadm to install Kubernetes. It's…

1 year ago

Meningkatkan Efisiensi Memory Proxmox Lebih dari 20%

Proxmox adalah hypervisor yang populer digunakan karena penggunaannya yang cukup simpel jika dibandingkan dengan hypervisor…

4 years ago

Longhorn Failed Upgrade from v0.8.1 to v1.0.0 caused by pv created before v0.6.2

This post is mirror of https://forums.rancher.com/t/failed-upgrade-from-v0-8-1-to-v1-0-0-caused-by-pv-created-before-v0-6-2/17586 I scale down all pods that has vpc to…

4 years ago

Cara Setup Network Ubuntu Server 18.04 pada Proxmox

Ubuntu Konfigurasi network pada Ubuntu Server 18.04 berbeda dengan ubuntu versi sebelumnya. Versi sebelumnya menggunakan…

5 years ago

VSCode Terminal Font Fix on MacOS

For detailed problems, see https://notulensiku.com/2019/02/fix-integrated-terminal-font-vscode/ To solve on mac, you need to install powerline fonts…

5 years ago