Telah terjadi sebuah serangan pada jaringan. Sebagai seorang penyidik digital forensik anda diminta melakukan analisa terhadap serangan tersebut. Lakukan analisa terhadap barang bukti dengan format sebagai berikut :
1
- Barang Bukti yang di terima : evidence 03.pcap
Berikut ini adalah skenario dari puzzle nomor 3:
“Ann dan Mr. X telah menyiapkan basis operasi baru mereka. Sambil menunggu dokumen ekstradisi untuk dilalui, Anda dan tim penyelidik Anda diam-diam memantau aktivitasnya. Baru-baru ini, Ann mendapatkan AppleTV baru, dan mengonfigurasikannya dengan alamat IP statis 192.168.1.10. Di sini adalah paket capture dengan aktivitas terbarunya. ”
1. Apa alamat MAC dari Ann's AppleTV?
2. Apa string Agen-Pengguna yang digunakan AppleTV Ann dalam permintaan HTTP?
3. Apa sajakah istilah pencarian keempat Ann di AppleTV (semua penghitungan tambahan)?
4. Apa judul film pertama Ann yang diklik?
5. Apa URL lengkap untuk trailer film (ditentukan oleh "preview-url")?
6. Apa judul film kedua Ann yang diklik?
7. Berapa harga untuk membelinya (ditentukan oleh "display-harga")?
8. Apa istilah terakhir yang dicari Ann?
Dalam skenario 3 ini, saya berperan seolah seorang forensic investigator, misi saya dari skenario ini adalah mengetahui apa yang sedang dicari oleh Ann dan buktikan hal-hal berikut:
1. What is the MAC address of Ann’s AppleTV?
- Buka wireshark, lalu open file evidence03.pcap
- Klik Statics pada toolbar -> pilih Endpoints
- Pilih enpoints yang mengandung nama Apple
- Klik name resolution di kiri bawah untuk melihat MAC address
- Didapatkan jawaban: 00:25:00:fe:07:c4
2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
- Ketikkan “HTTP” pada kolom filter lalu apply (HTTP digunakan karena kita mendapatkan clue di soal Ann menggunakan HTTP requests)
- Pilih salah satu paket, liat di paket detail
- Klik Hypertext Transfer Protocol
- Lihat User-Agent
- Didapatkan jawaban: AppleTV/2.4
3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
- Perhatikan pola dari destination port untuk search, setiap search menggunakan destination port 66.235.132.121 oleh karena itu:
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- Perhatikanlah kolom info, maka akan didapatkan setiap search yang mengandung string “incrementalSearch” diikuti dengan penambahan string h, ha, hac, hack
4. What was the title of the first movie Ann clicked on?
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- Lihat kolom info, lihat yang mengandung kata Movie dan ada judulnya
- Didapatkan bahwa film yang Ann pertama klik adalah: Hackers
5. What was the full URL to the movie trailer (defined by “preview-url”)?
- Kembali ke paket paling pertama
- Karena telah diberi tahu kata kunci “preview-url”, kita lakukan search terhadap kata kunci tersebut
- ctrl-f, pilih String, lalu klik juga packet details
- ketikkan preview-url
- klik search
- lihat hasil search yang pertama
- Didapatkan bahwa URL trailer movie tersebut adalah: http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640×278.h264lc.d2.p.m4v
6. What was the title of the second movie Ann clicked on?
- Gunakan filter seperti pada nomor 4, ip.dst == 66.235.132.121 and http.request.method == “GET”
- lihat kolom info, lihat yang mengandung Movie kedua dan ada judulnya
- didapatkan judul movie kedua adalah: Sneakers
7. What was the price to buy it (defined by “price-display”)?
- Kembali ke paket paling pertama
- Kita telah diberi kata kunci kembali yaitu price-display
- ctrl-f, pilih String, lalu klik juga packet details
- ketikkan price-display
- klik search
- klik ctrl-n untuk ke hasil search berikutnya (harga movie kedua)
- didapatkan jawaban: $9.99
8. What was the last full term Ann searched for?
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- lihat kolom info maka akan didapatkan Ann terakhir kali mencari kata apa (secara increment juga)
- didapatkan hasil: iknowyourewatchingme
9. Kesimpulan:
Saya telah berhasil menyelesaikan kontes forensik puzzle nomor 3, dan dari penyelesaian
kasus ini Ann sedang mencari film tentang Hack dan Sneak menggunakan Apple TV nya.
Tidak ada komentar:
Posting Komentar