Posted in Forensic Digital

Puzzle #1 Solution: Ann’s Bad AIM

Video ini memberikan petunjuk untuk menyelesaikan puzzle 1 dari http://forensicscontest.com/puzzles

Pendahuluan

Ada seseorang bernama Ann Dercover bekerja pada perusahaan yang bernama Anarchy-R-Us, Inc. Namun, perusahaan menaruh curiga kepada Ann. Ann memiliki akses ke resep rahasia perusahaan. Staff keamanan mencurigai Ann kalau kalau si Ann membocorkan rahasia perusahaan.

Staff keamanan memonitor perlakuan Ann, tapi tidak ada hal mencurigakan sampai saat ini. Hingga tiba – tiba ada sebuah laptop yang muncul di jaringan perusahaan, dan IP Ann (192.168.1.158) mengirim IMs ke laptop tersebut. Laptop tersebut tiba – tiba menghilang sesaat setelah IMs selesai dikirim.

Staff keamanan berhasil mengcapture paket yang dikirim dari komputer Ann, dan mereka meminta penulis untuk menganalisis paket tersebut.

evidence file: http://forensicscontest.com/contest01…

Pertanyaan:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

Pembahasan

Pertanyaan 1

Hal pertama yang harus dilakukan adalah melihat jenis paket apa saja yang ada di wireshark. Ketika kita scroll, akan terlihat tampilan berikut

Pada kolom Protocol, ada protokol ARP, TCP, dan SSL.

Wireshark AIM

Dari analisis staff keamanan, diketahui bahwa protokol yang dipakai adalah AIM yang bekerja di port 443. Secara default, wireshark akan menganggap port 443 adalah port SSL. Oleh karena itu, kita ganti dulu SSL di wireshark menjadi protokol AIM dengan cara:

  1. Klik kanan paket SSL nya
  2. Klik Decode As
  3. Pilih AIM

Screenshot from 2015-12-12 08:38:20

Setelah di klik apply, maka tampilan wireshark akan menjadi seperti berikut

Wireshark AIM

Terlihat pada kolom protokol, SSL telah berubah menjadi AIM. Tujuan perubahan ini agar paket AIM dapat terbaca.

Kita perhatikan paket nomor 25….

paket 25

Terlihat ada kata – kata Outgoing to: Sec558user1. Sec558user1 adalah user AIM dari Ann. Terjawab pertanyaan nomor 1 🙂

 

Pertanyaan 2

Pada paket yang sama, kita dapat melihat text message yang ada pada paket tersebut. Lihat screenshoot di bawah ini.

paket 25 text

Ada kalimat Here’s the secret recipe…. Kalimat tersebut adalah kalimat yang dikirim Ann ke pelaku. Terjawab pertanyaan 2 🙂

Pertanyaan 3

Untuk mencari nama file yang dikirim, ketikkan perintah berikut di terminal

strings evidence01.pcap | grep -A 2 ‘OFT2’

Adapun penjelasan fungsi dari perintah di atas sebagai berikut:

  1. strings: Untuk memunculkan semua string yang ada di file evidence01.pcap
  2. grep -A 2 ‘OFT2’: untuk memunculkan 2 string sebelum dan sesudah baris string yang mengandung kata ‘OFT2’

Ketika perintah dijalankan, maka akan dihasilkan output berikut:

OFT2
Cool FileXfer
recipe.docx

OFT2
7174647
Cool FileXfer

OFT2
7174647
Cool FileXfer

Dari hasil tersebut, terlihat ada nama file recipe.docx. Nama file tersebut adalah nama file yang dikirim oleh Ann. Terjawab pertanyaan 3 🙂

 

Pertanyaan 4

Untuk mencari magic number, kita search di mesin pencari, apakah magic number dari docx. Magic number tersebut dapat ditemukan di website sini. Magic number tersebut adalah 50 4B 03 04. Terjawab pertanyaan 4 🙂

Pertanyaan 5

Untuk mencari file yang diinginkan, ada 2 cara yang dapat dilakukan.

Cara pertama adalah langkah berikut dijalankan melalui terminal:

  1. tshark -Y ‘ip.addr eq 192.168.1.158’ -r evidence.pcap -w newev.pcap
  2. ngrep -I newev.pcap ‘OFT2.*Cool FileXfer’ src port 5190 | grep ‘T ‘
  3. tshark -Y ‘(ip.addr eq 192.168.1.159 and ip.addr eq 192.168.1.158) and (tcp.port eq 1272 and tcp.port eq 5190)’ -r newev.pcap -w OFT2CONV.pcap
  4. tcpflow -r OFT2CONV.pcap ‘src port 5190’
  5. mv 192.168.001.158.05190-192.168.001.159.01272 payload1
  6. xxd -ps payload1 > hex1
  7. search for “504b0304” yang pertama, dan hapus semua huruf sebelum 504b, lalu simpan
  8. xxd -r -ps hex1 > recipe.docx
  9. md5sum recipe.docx

Cara di atas adalah cara yang ada di video. namun berhubung terlalu panjang jika dijelaskan 1 per 1, maka ada lagi cara yang kedua yang memakai wireshark GUI.

Hal pertama yang harus dilakukan adalah menemukan paket yang berasal dari IP 192.168.1.158. IP tersebut adalah IP dari komputer Ann. Untuk mencarinya, ketikkan ip.addr eq 192.168.1.158 di filter wireshark seperti berikut ip 192.168.1.158

Setelah kita mendapatkan hasil filternya, hal berikutnya adalah kita cari paket yang kolom length nya cukup besar. Hal ini dikarenakan yang kita cari adalah paket yang mengirim file. Oleh karena itu, kita butuh panjang paket yang besar juga.

Setelah kita scroll hasil filter, maka akan ditemukan paket nomor 119 dengan panjang paket 1514 seperti gambar berikut

paket berisi file

Kita klik kanan file tersebut, dan klik Follow TCP Stream. Hasilnya seperti berikut.

tcp stream

Pada dropdown Entire conversation, kita ganti dari

dari dropdown

menjadi berikut

dropdown final

klik save as, dan kita simpan dengan nama payload1

save payload 1

File payload1 adalah file binary dari paket yang dikirim. Untuk membacanya sebagai docx, maka kita harus menghapus “binary sampah” yang ada di file payload1. Untuk melakukannya, ada beberapa langkah di terminal hingga file docx berhasil didapatkan. Ikuti langkah berikut.

  • xxd -ps payload1 > hex1

Untuk mengubah file binary menjadi file txt yang dapat dibaca gedit

  • gedit hex1
  • Buka aplikasi gedit yang muncul
  • Cari 504b yang pertama kali dari file hex1
  • Hapus semua karakter sebelum 504b

Bertujuan untuk menghapus binary yang tidak diperlukan

  • simpan filenya
  • Kembali ke terminal
  • xxd -r -ps hex1 > recipe.docx

Untuk mengubah file txt menjadi binary kembali, yang mana binary kali ini adalah file docx yang kita cari.

how to get file

file binary yang sudah txt dan belum diedit

file binary yang sudah txt dan sudah diedit

Sampai pada langkah ini, file docx berhasil kita dapatkan. Lakukan md5sum recipe.docx, dan terjawablah soal 5 🙂

md5sum recipe.docx

 

Pertanyaan 6

Untuk melihat isi dari recipe.docx, sebenarnya bisa saja file tersebut langsung dibuka menggunakan aplikasi office, namun cara ini kurang aman. Lebih aman jika kita memakai cara berikut untuk mengetahui isi dari file docx.

Perlu diketahui bahwa file docx sebenarnya adalah file zip biasa. Maka untuk membukanya, tinggal kita unzip seperti gambar berikut:

unzip docx

dan jalankan perintah sed -e ‘s/<[^>]*>//g’ word/document.xml di terminal

isi recipe.docx

Terjawablah pertanyaan terakhir 🙂

Silahkan lihat video ini untuk lebih jelasnya

Kesimpulan

Ternyata memang benar bahwa Ann mengirim resep rahasia perusahaan ke orang lain melalui AIM.

Referensi:

https://jsaxton.com/fun-with-wireshark-and-aim/
http://forensicscontest.com/contest01/Finalists/Amar_Yousif/sol.txt
http://www.garykessler.net/library/file_sigs.html

Sekilas Penulis

IMG_8424Penulis adalah seorang mahasiswa yang bernama Akhmad Fakhoni Listiyan Dede, yang sedang menimba ilmu di Institut Teknologi Bandung. Jurusan yang penulis pilih adalah Informatika. NIM yang didapatkan oleh penulis dari ITB adalah 13513601.

Penulis dapat dihubungi melalui link berikut:
notulensiku.com
Facebook

akhfa

Leave A Comment