Puzzle #2 Solution: Ann Skips Bail

Video ini memberikan petunjuk untuk menyelesaikan puzzle 2 dari http://forensicscontest.com/puzzles

Pendahuluan

Evidence file: evidence02.pcap

Pertanyaan:

1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?

Pembahasan

Pada soal pertama, perlu dicari alamat email dari Ann. Untuk mengetahuinya,  cukup menggunakan perintah berikut di terminal, strings evidence02.pcap | grep “.*@.*”

Terlihat ada tulisan “Ann Dercover” <sneakyg33k@aol.com>, alamat email inilah alamat email Ann. Terjawab pertanyaan 1 🙂

Untuk mencari tahu password email Ann, maka perlu dibuka terlebih dahulu file evidence menggunakan wireshark

Setelah terbuka, filter berdasarkan paket SMTP seperti berikut, sehingga terlihat hanya paket SMTP yang ada di kolom protocol.

Klik kanan salah satu paket yang sudah di filter, dan kemudian “Follow TCP stream”

Ketika dibaca, kita akan menemukan sepenggal string dari hasil di atas. Perhatikan string berikut:

AUTH LOGIN
334 VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t
334 UGFzc3dvcmQ6
NTU4cjAwbHo=
235 AUTHENTICATION SUCCESSFUL

AUTH LOGIN di situ menandakan bahwa sedang ada verifikasi login untuk email. Ketika string baris 2 sampai baris ke 5 kita decrypt menggunakan base64, hasilnya akan seperti gambar di bawah ini.

Apa yang sebenarnya terjadi? Sebenarnya string – string berikut adalah hasil encrypt base64. openssl base64 -d digunakan untuk melakukan decrypt ke hasil enkripsi.

VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t
UGFzc3dvcmQ6
NTU4cjAwbHo=

Ketika kita decrypt satu persatu, hasilnya adalah sebagai berikut

Username:
sneakyg33k@aol.comroot
Password:
558r00lz

Terlihat bahwa email milik Ann passwordnya adalah 558r00lz. Terjawab pertanyaan 2 🙂

Sebelum menjawab pertanyaan, mari kita cermati kembali gambar berikut

dari gambar di atas, selain alama Ann, ada 2 alamat lain, yaitu sec558@gmail.com dan mistersecretx@aol.com. Mari kita lebarkan pencarian dari email sneakyg33k@aol.com. Untuk memeriksa email, ketik strings evidence02.pcap | grep -A50 “sneakyg33k@aol.com”. -A50 berfungsi untuk melebarkan pencarian agar menampilkan baris yang mengandung sneakyg33k@aol.com, dan juga 50 baris di atasnya dan di bawahnya. Hasilnya kurang lebih seperti berikut.

Perhatikan baris berikut

ups. Kita menemukan kata – kata love di sini. Maka bisa dipastikan bahwa email manapun yang menjadi tujuan email ini adalah secrete lover tersebut. Kita scroll hasil strings agak ke atas, dan kita akan menemukan baris berikut

Terlihat bahwa email tertuju ke mistersecretx@aol.com, email inilah email secret lover Ann. Terjawab pertanyaan 3 🙂

Coba kita perhatikan lagi string yang ada di sini

Aaannnddd we will find this 😀

Jadi terjawablah pertanyaan 4. Barang bawaan yang seharusnya dibawa adalah fake passport dan bathing suit 🙂

Untuk melihat nama attachment, coba cermati lagi gambar ini 😀

dan kita akan menemukan potongan berikut

Terlihat bahwa ada attachment bernama secretrendezvous.docx, terjawab pertanyaan 5 🙂

Untuk menjawab pertanyaan 6, kita harus extract dulu file yang dikirim ke Ann lover.

Filter paket berdasarkan protokol SMTP lagi

Carilah paket yang memiliki info “data fragment”. Kenapa kita mencari paket ini? Karena yang kita cari adalah file yang dikirim menggunakan email, dan karena file berukuran besar, maka di pecah menjadi fragment – fragment

Klik kanan paket tersebut, dan follow tcp stream

Carilah potongan string berikut…

Pada gambar di atas, tertulis .filename=”secretrendezvous.docx”. Di bawahnya adalah encoding base64 dari file attachment yang kita cari. Salinlah dari UEsDBB……………………………………AwAA9CYDAAAA. Kenapa pakai base64? Karena semua data yang dikirim melalui email pasti diubah menjadi base64 terlebih dahulu. Pastikan bahwa copy akan berlangsung sampai hampir di akhir dari follow tcp stream, seperti berikut

Pastekan ke dalam gedit ataupun nano dan simpan menggunakan nama file attachment.b64.

Setelah tersimpan, ketikkan openssl base64 -d < attachment.b64 > secretrendezvous.docx. Perintah ini akan melakukan decrypt terhadap base64 yang telah disimpan di file attachment.b64, dan menyimpan hasil decryptnya ke file secretrendezvous.docx yang dapat dibaca oleh kita 🙂

untuk melakukan md5sum, cukup ketikkan perintah md5sum secretrendezvous.docx seperti berikut.

Jadi md5sum dari file secretrendezvous.docx adalah 9e423e11db88f01bbff81172839e1923. Terjawab pertanyaan 6 🙂

rendez-vous point  dapat ditemukan ketika kita membuka file secretrendezvous.docx, dan ditemukanlah titik berikut 🙂

Terjawab pertanyaan 7, yaitu Playa del Carmen, Mexico 🙂

Untuk mencari tahu md5sum dari gambar yang ada di file secretrendezvous.docx, maka kita extract dulu filenya

terlihat hanya ada 1 file gambar bernama image1.png. File tersebut adalah file yang kita cari. Tinggal kita md5 file tersebut.

Jadi, md5 dari file gambarnya adalah aadeace50997b1ba24b09ac2ef1940b7. Terjawab pertanyaan 8 🙂

Untuk lebih jelasnya, simak video berikut 🙂

Kesimpulan

Ternyata menghilangnya Ann dikarenakan dia ingin menemui secret lovernya. Email Ann berisi mengenai rencana dia untuk bertemu si secret lover. Pertemuan mereka diadakan di Playa del Carmen, Mexico, dan selesailah tugas investigator 🙂

Referensi

http://gl.ib.ly/computing/2009/11/27/ann-skips-bail-cue-forensics-puzzle/

Sekilas Penulis

Penulis adalah seorang mahasiswa yang bernama Akhmad Fakhoni Listiyan Dede, yang sedang menimba ilmu di Institut Teknologi Bandung. Jurusan yang penulis pilih adalah Informatika. NIM yang didapatkan oleh penulis dari ITB adalah 13513601.

Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook