Minggu, 23 Desember 2018

Tutorial Digital Forensik dengan Wireshark di Kali Linux (Kelompok Sistem Keamanan Komputer)


M Fari Caesaradha   1715015051
Sholatul Rachmad    1715015053
Akhmad Masyudi     1715015055
Fikri Syifa Maulidin 1715015062
Wahyu Ramadhani    1715015079
TUTORIAL WIRESHARK



Pertama untuk melakukan digital forensic di WireShark anda harus memiliki file .pcap terlebih dahulu, pcap merupakan file packet-packet jaringan dan Wireshark yang sudah terinstall bersama Kali Linux. Kali ini kami akan menjelaskan bagaimana menggunakan wireshark dalam digital forensik dengan kasus Ann’s Apple TV. Ann’s Apple TV merupakan salah satu puzzle yang digunakan dalam kontes forensik  (http://forensicscontest.com/puzzles) Kronologi Ann’s Apple TV adalah sebagai berikut :

Ann dan Mr.X telah menyusun tempat oparasi mereka yang baru. Sambil menunggu berkas-berkas selesai diproses, anda dan tim investigator anda diam-diam memonitor kegiatan Ann dan Mr.X. Baru-baru ini Ann membeli Apple TV, dan mengaturnya dengan ip statis 192.168.1.10.

Misi anda dan tim investigator anda adalah untuk mengetahui apa yang Ann cari, kesukaannya dan mencari barang bukti termasuk :
a.       Alamat MAC dari Apple TV milik Ann.
b.      User-agent apa yang digunakan Apple TV milik ann dalam HTTP request.
c.       Apa empat pencarian pertama Ann dalam Apple TV
d.      Apa judul film pertama yang Ann klik
e.      Apa link URL dari trailer film pertama yang Ann klik
f.        Apa judul film kedua yang Ann klik
g.       Berapa harga film kedua yang Ann klik
h.      Apa pencarian terakhir Ann
Dengan kronologi diatas kita sudah mendapat misi apa yang harus kita lakukan sebagai investigator. Langsung saja.

1.       Buka file .pcap menggunakan Wireshark

 

2.       Dari paket pertama sudah terlihat alamat MAC dari Apple TV milik Ann


Dari gambar terlihat alamat MAC dari Apple TV adalah (00:25:00:fe:07:c4)

3.       Selanjutnya untuk mencari user-agent cari paket yang memiliki protokol “HTML”



Dari situ klik kanan pada paket, pilih follow -> TCP Stream



Jendala baru akan muncul dan memperlihatkan bahwa user-agent yang digunakan Apple TV adalah (AppleTV/2.4)

4.       Untuk mencari pencarian yang dilakukan Ann, dalam tab filter masukkan (http.request.method == “GET”)


Filter ini digunakan untuk menampilkan paket-paket yang berjalan saat URL meminta data ke server, dari list yang ada di tab info cari “incremental search”



Jika ketemu klik dua kali dan jendela baru akan muncul menampilkan url yang dikirim saat melakukan pencarian.






Dari gambar diatas terlihat empat pencarian pertama yang dilakukan Ann adalah (h,ha,hac, dan hack).

5.       Selanjutnya untuk mencari nama film yang pertama diklik Ann, masih menggunakan list dari langkah 4, di tab info cari “pageName”

 

Jika ketemu klik dua kali dan jendela baru akan muncul menampilkan url dengan nama film.



Dari gambar diatas diketahui bahwa film pertama yang diklik Ann adalah (Hackers).

6.       Untuk mencari link trailernya klik paket yang berada diatas paket film tadi lalu pilih follow -> TCP Stream


Dari list yang ada cari paket yang memiliki protokol “HTTP/XML” untuk melihat informasi-informasi halaman web yang dibuka.



Jika ketemu klik dua kali dan pada tab XML cari key yang bernilai “preview-url”. Dari gambar diatas diketahui link URL dari trailer film Hackers adalah (http://a227.v.phebos.apple.com/us/r1000/008/Video/62/bd/mzm.plqacyqb..640x278.h264lc.d2.p.m4v)

7.       Untuk mencari film kedua langkah yang dilakukan sama seperti saat mencari film pertama


Dari gambar diatas terlihat film kedua yang diklik oleh Ann adalah (Sneakers).

8.       Untuk mencari harga dari film Sneakers, sama seperti saat mencari link trailer film Hackers
Klik paket yang berada diatas paket film Sneakers, klik dua kali -> pilih follow -> TCP Streamer






Dari list yang ada cari paket yang memiliki protokol “HTTP/XML” untuk melihat informasi-informasi halaman web yang dibuka

Jika ketemu klik dua kali dan pada tab XML cari key yang bernilai “price”. Dari gambar diatas diketahui harga dari film Sneakers adalah (9.99 USD).

9.       Misi terakhir adalah mencari pencarian terakhir yang dilakukan Ann
Untuk mencari pencarian terakhir pilih paket terakhir di list paket langkah ke 4 lalu klik dua kali. Jendala baru akan muncul dan memperlihatkan pencarian terkahir yang dilakukan Ann.

 

Dari gambar diatas terlihat pencarian terakhir, yang dicari oleh Ann adalah (iknowyourewatchingme).

Setelah melakukan misi-misi diatas dapat disimpulkan bahwa:
a.       Alamat MAC dari Apple TV milik Ann. = 00:25:00:fe:07:c4
b.      User-agent apa yang digunakan Apple TV milik ann dalam HTTP request. = AppleTV/2.4
c.       Apa empat pencarian pertama Ann dalam Apple TV = h,ha,hac, dan hack
d.      Apa judul film pertama yang Ann klik = Hackers
e. Apa link URL dari trailer film pertama yang Ann klik = http://a227.v.phebos.apple.com/us/r1000/008/Video/62/bd/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
f.        Apa judul film kedua yang Ann klik = Sneakers
g.       Berapa harga film kedua yang Ann klik = 9.99 USD
h.      Apa pencarian terakhir Ann = iknowyourewatchingme

Sekian dari kami terima kasih, coba lagi puzzle-puzzle disini (http://forensicscontest.com/puzzles) untuk mengasah kemampuan investigasi kalian.


TERIMA KASIH

0 komentar:

Posting Komentar