Categories: Forensic Digital

Puzzle #2 Solution: Ann Skips Bail

Video ini memberikan petunjuk untuk menyelesaikan puzzle 2 dari http://forensicscontest.com/puzzles

Pendahuluan

Setelah dibebaskan dengan jaminan, Ann Dercover menghilang! Untungnya, investigator telah memonitor aktivitas Ann sebelum ia kabur ke luar kota.
Kami percaya Ann mungkin telah berkomunikasi dengan kekasih rahasianya, Mr. X, sebelum dia pergi,kata kepala polisi.
Misi yang perlu dilakukan adalah mencari tahu apa yang Ann kirim dari emailnya dia dan kemana dia pergi.

Evidence file: evidence02.pcap

Pertanyaan:

1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?

Pembahasan

Pada soal pertama, perlu dicari alamat email dari Ann. Untuk mengetahuinya,  cukup menggunakan perintah berikut di terminal, strings evidence02.pcap | grep “.*@.*”

Terlihat ada tulisan “Ann Dercover” <sneakyg33k@aol.com>, alamat email inilah alamat email Ann. Terjawab pertanyaan 1 🙂


Untuk mencari tahu password email Ann, maka perlu dibuka terlebih dahulu file evidence menggunakan wireshark

Setelah terbuka, filter berdasarkan paket SMTP seperti berikut, sehingga terlihat hanya paket SMTP yang ada di kolom protocol.

 

Klik kanan salah satu paket yang sudah di filter, dan kemudian “Follow TCP stream”

Ketika dibaca, kita akan menemukan sepenggal string dari hasil di atas. Perhatikan string berikut:

AUTH LOGIN
334 VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t
334 UGFzc3dvcmQ6
NTU4cjAwbHo=
235 AUTHENTICATION SUCCESSFUL

AUTH LOGIN di situ menandakan bahwa sedang ada verifikasi login untuk email. Ketika string baris 2 sampai baris ke 5 kita decrypt menggunakan base64, hasilnya akan seperti gambar di bawah ini.

Apa yang sebenarnya terjadi? Sebenarnya string – string berikut adalah hasil encrypt base64. openssl base64 -d digunakan untuk melakukan decrypt ke hasil enkripsi.

VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t
UGFzc3dvcmQ6
NTU4cjAwbHo=

Ketika kita decrypt satu persatu, hasilnya adalah sebagai berikut

Username:
sneakyg33k@aol.comroot
Password:
558r00lz

Terlihat bahwa email milik Ann passwordnya adalah 558r00lz. Terjawab pertanyaan 2 🙂


Sebelum menjawab pertanyaan, mari kita cermati kembali gambar berikut

dari gambar di atas, selain alama Ann, ada 2 alamat lain, yaitu sec558@gmail.com dan mistersecretx@aol.com. Mari kita lebarkan pencarian dari email sneakyg33k@aol.com. Untuk memeriksa email, ketik strings evidence02.pcap | grep -A50 “sneakyg33k@aol.com”. -A50 berfungsi untuk melebarkan pencarian agar menampilkan baris yang mengandung sneakyg33k@aol.com, dan juga 50 baris di atasnya dan di bawahnya. Hasilnya kurang lebih seperti berikut.

Perhatikan baris berikut

ups. Kita menemukan kata – kata love di sini. Maka bisa dipastikan bahwa email manapun yang menjadi tujuan email ini adalah secrete lover tersebut. Kita scroll hasil strings agak ke atas, dan kita akan menemukan baris berikut

Terlihat bahwa email tertuju ke mistersecretx@aol.com, email inilah email secret lover Ann. Terjawab pertanyaan 3 🙂


Coba kita perhatikan lagi string yang ada di sini

Aaannnddd we will find this 😀

Jadi terjawablah pertanyaan 4. Barang bawaan yang seharusnya dibawa adalah fake passport dan bathing suit 🙂


Untuk melihat nama attachment, coba cermati lagi gambar ini 😀

dan kita akan menemukan potongan berikut

Terlihat bahwa ada attachment bernama secretrendezvous.docx, terjawab pertanyaan 5 🙂


Untuk menjawab pertanyaan 6, kita harus extract dulu file yang dikirim ke Ann lover.

Filter paket berdasarkan protokol SMTP lagi

Carilah paket yang memiliki info “data fragment”. Kenapa kita mencari paket ini? Karena yang kita cari adalah file yang dikirim menggunakan email, dan karena file berukuran besar, maka di pecah menjadi fragment – fragment

Klik kanan paket tersebut, dan follow tcp stream

Carilah potongan string berikut…

Pada gambar di atas, tertulis .filename=”secretrendezvous.docx”. Di bawahnya adalah encoding base64 dari file attachment yang kita cari. Salinlah dari UEsDBB……………………………………AwAA9CYDAAAA. Kenapa pakai base64? Karena semua data yang dikirim melalui email pasti diubah menjadi base64 terlebih dahulu. Pastikan bahwa copy akan berlangsung sampai hampir di akhir dari follow tcp stream, seperti berikut

Pastekan ke dalam gedit ataupun nano dan simpan menggunakan nama file attachment.b64.

Setelah tersimpan, ketikkan openssl base64 -d < attachment.b64 > secretrendezvous.docx. Perintah ini akan melakukan decrypt terhadap base64 yang telah disimpan di file attachment.b64, dan menyimpan hasil decryptnya ke file secretrendezvous.docx yang dapat dibaca oleh kita 🙂

untuk melakukan md5sum, cukup ketikkan perintah md5sum secretrendezvous.docx seperti berikut.

Jadi md5sum dari file secretrendezvous.docx adalah 9e423e11db88f01bbff81172839e1923. Terjawab pertanyaan 6 🙂


rendez-vous point  dapat ditemukan ketika kita membuka file secretrendezvous.docx, dan ditemukanlah titik berikut 🙂

Terjawab pertanyaan 7, yaitu Playa del Carmen, Mexico 🙂


Untuk mencari tahu md5sum dari gambar yang ada di file secretrendezvous.docx, maka kita extract dulu filenya

terlihat hanya ada 1 file gambar bernama image1.png. File tersebut adalah file yang kita cari. Tinggal kita md5 file tersebut.

Jadi, md5 dari file gambarnya adalah aadeace50997b1ba24b09ac2ef1940b7. Terjawab pertanyaan 8 🙂


Untuk lebih jelasnya, simak video berikut 🙂


 

Kesimpulan

Ternyata menghilangnya Ann dikarenakan dia ingin menemui secret lovernya. Email Ann berisi mengenai rencana dia untuk bertemu si secret lover. Pertemuan mereka diadakan di Playa del Carmen, Mexico, dan selesailah tugas investigator 🙂

 

Referensi

http://gl.ib.ly/computing/2009/11/27/ann-skips-bail-cue-forensics-puzzle/

Sekilas Penulis

Penulis adalah seorang mahasiswa yang bernama Akhmad Fakhoni Listiyan Dede, yang sedang menimba ilmu di Institut Teknologi Bandung. Jurusan yang penulis pilih adalah Informatika. NIM yang didapatkan oleh penulis dari ITB adalah 13513601.

Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook

Akhmad Fakhoni Listiyan Dede

Share
Published by
Akhmad Fakhoni Listiyan Dede

Recent Posts

Mengimplementasikan AI untuk Melakukan Review pada Pull Request Github

Halo semua Github memiliki fitur terkait Pull Request yang cukup luar biasa, yaitu dapat melakukan…

7 months ago

Install kubernetes cluster using kubeadm

Hello everyone! 👋 Welcome to our step-by-step guide on using kubeadm to install Kubernetes. It's…

1 year ago

Meningkatkan Efisiensi Memory Proxmox Lebih dari 20%

Proxmox adalah hypervisor yang populer digunakan karena penggunaannya yang cukup simpel jika dibandingkan dengan hypervisor…

4 years ago

Longhorn Failed Upgrade from v0.8.1 to v1.0.0 caused by pv created before v0.6.2

This post is mirror of https://forums.rancher.com/t/failed-upgrade-from-v0-8-1-to-v1-0-0-caused-by-pv-created-before-v0-6-2/17586 I scale down all pods that has vpc to…

5 years ago

Cara Setup Network Ubuntu Server 18.04 pada Proxmox

Ubuntu Konfigurasi network pada Ubuntu Server 18.04 berbeda dengan ubuntu versi sebelumnya. Versi sebelumnya menggunakan…

5 years ago

VSCode Terminal Font Fix on MacOS

For detailed problems, see https://notulensiku.com/2019/02/fix-integrated-terminal-font-vscode/ To solve on mac, you need to install powerline fonts…

5 years ago