Video ini memberikan petunjuk untuk menyelesaikan puzzle 1 dari http://forensicscontest.com/puzzles
Ada seseorang bernama Ann Dercover bekerja pada perusahaan yang bernama Anarchy-R-Us, Inc. Namun, perusahaan menaruh curiga kepada Ann. Ann memiliki akses ke resep rahasia perusahaan. Staff keamanan mencurigai Ann kalau kalau si Ann membocorkan rahasia perusahaan.
Staff keamanan memonitor perlakuan Ann, tapi tidak ada hal mencurigakan sampai saat ini. Hingga tiba – tiba ada sebuah laptop yang muncul di jaringan perusahaan, dan IP Ann (192.168.1.158) mengirim IMs ke laptop tersebut. Laptop tersebut tiba – tiba menghilang sesaat setelah IMs selesai dikirim.
Staff keamanan berhasil mengcapture paket yang dikirim dari komputer Ann, dan mereka meminta penulis untuk menganalisis paket tersebut.
evidence file: http://forensicscontest.com/contest01…
Pertanyaan:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Hal pertama yang harus dilakukan adalah melihat jenis paket apa saja yang ada di wireshark. Ketika kita scroll, akan terlihat tampilan berikut
Pada kolom Protocol, ada protokol ARP, TCP, dan SSL.
Dari analisis staff keamanan, diketahui bahwa protokol yang dipakai adalah AIM yang bekerja di port 443. Secara default, wireshark akan menganggap port 443 adalah port SSL. Oleh karena itu, kita ganti dulu SSL di wireshark menjadi protokol AIM dengan cara:
Setelah di klik apply, maka tampilan wireshark akan menjadi seperti berikut
Terlihat pada kolom protokol, SSL telah berubah menjadi AIM. Tujuan perubahan ini agar paket AIM dapat terbaca.
Kita perhatikan paket nomor 25….
Terlihat ada kata – kata Outgoing to: Sec558user1. Sec558user1 adalah user AIM dari Ann. Terjawab pertanyaan nomor 1 🙂
Pada paket yang sama, kita dapat melihat text message yang ada pada paket tersebut. Lihat screenshoot di bawah ini.
Ada kalimat Here’s the secret recipe…. Kalimat tersebut adalah kalimat yang dikirim Ann ke pelaku. Terjawab pertanyaan 2 🙂
Untuk mencari nama file yang dikirim, ketikkan perintah berikut di terminal
strings evidence01.pcap | grep -A 2 ‘OFT2’
Adapun penjelasan fungsi dari perintah di atas sebagai berikut:
Ketika perintah dijalankan, maka akan dihasilkan output berikut:
OFT2
Cool FileXfer
recipe.docx
—
OFT2
7174647
Cool FileXfer
—
OFT2
7174647
Cool FileXfer
Dari hasil tersebut, terlihat ada nama file recipe.docx. Nama file tersebut adalah nama file yang dikirim oleh Ann. Terjawab pertanyaan 3 🙂
Untuk mencari magic number, kita search di mesin pencari, apakah magic number dari docx. Magic number tersebut dapat ditemukan di website sini. Magic number tersebut adalah 50 4B 03 04. Terjawab pertanyaan 4 🙂
Untuk mencari file yang diinginkan, ada 2 cara yang dapat dilakukan.
Cara pertama adalah langkah berikut dijalankan melalui terminal:
Cara di atas adalah cara yang ada di video. namun berhubung terlalu panjang jika dijelaskan 1 per 1, maka ada lagi cara yang kedua yang memakai wireshark GUI.
Hal pertama yang harus dilakukan adalah menemukan paket yang berasal dari IP 192.168.1.158. IP tersebut adalah IP dari komputer Ann. Untuk mencarinya, ketikkan ip.addr eq 192.168.1.158 di filter wireshark seperti berikut
Setelah kita mendapatkan hasil filternya, hal berikutnya adalah kita cari paket yang kolom length nya cukup besar. Hal ini dikarenakan yang kita cari adalah paket yang mengirim file. Oleh karena itu, kita butuh panjang paket yang besar juga.
Setelah kita scroll hasil filter, maka akan ditemukan paket nomor 119 dengan panjang paket 1514 seperti gambar berikut
Kita klik kanan file tersebut, dan klik Follow TCP Stream. Hasilnya seperti berikut.
Pada dropdown Entire conversation, kita ganti dari
menjadi berikut
klik save as, dan kita simpan dengan nama payload1
File payload1 adalah file binary dari paket yang dikirim. Untuk membacanya sebagai docx, maka kita harus menghapus “binary sampah” yang ada di file payload1. Untuk melakukannya, ada beberapa langkah di terminal hingga file docx berhasil didapatkan. Ikuti langkah berikut.
Untuk mengubah file binary menjadi file txt yang dapat dibaca gedit
Bertujuan untuk menghapus binary yang tidak diperlukan
Untuk mengubah file txt menjadi binary kembali, yang mana binary kali ini adalah file docx yang kita cari.
Sampai pada langkah ini, file docx berhasil kita dapatkan. Lakukan md5sum recipe.docx, dan terjawablah soal 5 🙂
Untuk melihat isi dari recipe.docx, sebenarnya bisa saja file tersebut langsung dibuka menggunakan aplikasi office, namun cara ini kurang aman. Lebih aman jika kita memakai cara berikut untuk mengetahui isi dari file docx.
Perlu diketahui bahwa file docx sebenarnya adalah file zip biasa. Maka untuk membukanya, tinggal kita unzip seperti gambar berikut:
dan jalankan perintah sed -e ‘s/<[^>]*>//g’ word/document.xml di terminal
Terjawablah pertanyaan terakhir 🙂
Silahkan lihat video ini untuk lebih jelasnya
Ternyata memang benar bahwa Ann mengirim resep rahasia perusahaan ke orang lain melalui AIM.
https://jsaxton.com/fun-with-wireshark-and-aim/
http://forensicscontest.com/contest01/Finalists/Amar_Yousif/sol.txt
http://www.garykessler.net/library/file_sigs.html
Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook
Halo semua Github memiliki fitur terkait Pull Request yang cukup luar biasa, yaitu dapat melakukan…
Hello everyone! 👋 Welcome to our step-by-step guide on using kubeadm to install Kubernetes. It's…
Proxmox adalah hypervisor yang populer digunakan karena penggunaannya yang cukup simpel jika dibandingkan dengan hypervisor…
This post is mirror of https://forums.rancher.com/t/failed-upgrade-from-v0-8-1-to-v1-0-0-caused-by-pv-created-before-v0-6-2/17586 I scale down all pods that has vpc to…
Ubuntu Konfigurasi network pada Ubuntu Server 18.04 berbeda dengan ubuntu versi sebelumnya. Versi sebelumnya menggunakan…
For detailed problems, see https://notulensiku.com/2019/02/fix-integrated-terminal-font-vscode/ To solve on mac, you need to install powerline fonts…