[Info] Write up forensic challenge
#1
hello everyone ...

akhirnya stelah bberapa hari,sudah ssatya merelease jawaban
dari forensic challange
"i challenge u in the blank question"

check this --> forensic challenge

kita akan membedah kasus tersebut (versi saya)

[hide]
pertama kita chek dulu file kita download untuk memastikan tidak corrupt

Code:
root@5h!n0b!:~/Downloads# md5sum image.zip
b676147f63923e1f428131d59b1d6a72  image.zip

yup... sama dengan yg di soal,
lalu kita unzip file tersebut,ternyata hanya ada 1 file didalam image.zip
tersebut.
of course kita cek dlu, file apa itu,karena tnp extension.

Code:
root@5h!n0b!:~/forensic# file image
image: DOS floppy 1440k, x86 hard disk boot sector

langkah selanjutnya,menjawab dan menganalisa sesuai yang diminta.
yang perlu di analisa dan dijelasin

1. skenario apa yang terjadi di dalamnya
2. tokoh di dalam skenario
3. recovery image tersebut
4. jelasakan bagaimana "hiding tekniknya"
5. tool yag digunakan untuk forensik,


sesuai clueya "THINK OUT OF THE BOX" g mkin kita bisa menganalisa skenario yang terjadi didalamnya sebelum kita merecovery dan selanjutya menginvestigasi file tersbut.
so kita skip nor 1. loncat ke nor 3. recovery file.

saya disini akan meggunakan forensic suite --> autopsy

[Image: u24pg.jpg]">

see,,, di browser autopsy ternyata ada 3 file
cover page.jpgc
Jimmy Jungle.doc (deleted)
Scheduled Visits.exe


saatya kita examination 1 per satu file tersbut, cover page.jpgc apa yang ada dipkiran kalian pasti sama dengan dipikiran saya, file berformat "jpg" but the question is why *.jpgc berakhiran "c", sure ada sesuatu yang disembunyikan,.,kita innvestigasi mendalam
disni saya akan mencoba masuk directory file cover page.jpgc nach akhirya sedikit ada titik terang, file tersbut benar berextensi *.jpg chek gambar,
kita bisa juga mengecek details gambar tersbut

Code:
Details:
Directory Entry: 8
Allocated
File Attributes: File, Archive
Size: 15585
Name: COVERP~1.JPG

Directory Entry Times:
Written:        Wed Sep 11 08:30:52 2002
Accessed:       Wed Sep 11 00:00:00 2002
Created:        Wed Sep 11 08:50:27 2002

Sectors:
451
tapi ketika saya mencoba mengextract file tersbut, g bisa, bisa tapi dengan file.raw dan tidak terkandung informasi yang penting di dalamnya
kita tinggalkan dulu permasalahan ini sejenak ....dan mencoba mencari informasi dari file2 yang lain ..

file kedua adalah.. jimmi jungle.doc
di gambar browser autopsy bahwa jimmy jungle.doc tercentang merah,
kemungkinan file tersbut adalah deleted file. dan kita msuk ke directory file.doc tersbut..
see.... benar adanya jika file tersbut berxtensi .doc
details

Code:
Directory Entry: 5
Not Allocated
File Attributes: File, Archive
Size: 20480
Name: _IMMYJ~1.DOC

Directory Entry Times:
Written:        Mon Apr 15 14:42:30 2002
Accessed:       Wed Sep 11 00:00:00 2002
Created:        Wed Sep 11 08:49:49 2002

Sectors:
33 34 35 36 37 38 39 40
41 42 43 44 45 46 47 48
49 50 51 52 53 54 55 56
57 58 59 60 61 62 63 64

sector dimulai dari 33 smpai 64 untuk melihat isi file terbsut dengan cara -->
view contents and ASCII Strings (display) dan isi file.doc adalah

Code:
bjbj
Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
Jimmy:
[align=justify][align=left][align=justify]Dude, your pot must be the best
it made the cover of High Times Magazine! Thanks for sending me the Cover Page. What do you put in your soil when you plant the marijuana seeds?
At least I know your growing it and not some guy in Columbia.
These kids, they tell me marijuana isnt addictive,
but they dont stop buying from me. Man, I
m sure glad you told me about targeting the high school students. You must have some experience. It
s like a guaranteed paycheck. Their parents give them money for lunch and they spend it on my stuff. I
m an entrepreneur. Am I only one you sell to? Maybe I can become distributor of the year![/align][/align][/align]
I emailed you the schedule that I am using. I think it helps me cover myself and not be predictive.  Tell me what you think. To open it, use the same$
Thanks,
Joe

sedikit kita mendapatkan gambaran skenario ya,tpi sbgai profesional forensic investigator tidak scpat itu kita menyimpulkan. lalu dilanjutkan dengan file yang ketiga

[Image: 34j3y3t.jpg]">

schedule visit.exe
chek di gambar,,
but WHAATTT THE PAAAARK???? jika kalian sadar, the file berextensi *.exe
tapi kenapa di file type:
bertuliskan --> (Zip archive data, at least v2.0 to extract)
again "think out of the box"... kemingkinan ada file lain di file.exe tersbut yang sengaja di binding untuk mempersulit invetigasi,,

but what??
and so how??
ikuti naluri saja,1000 jalan menuju roma, coba untuk export content file *.exe tersbut kita chek sekali lagi file.exe,
setelah di export.

Code:
root@5h!n0b!:~/Downloads# file vol1-C..Scheduled.Visits.exe
vol1-C..Scheduled.Visits.exe: Zip archive data, at least v2.0 to extract

masih ttp sama, .....
skg cek strings file.exe,

Code:
root@5h!n0b!:~/Downloads# strings vol1-C..Scheduled.Visits.exe
Scheduled Visits.xls
5kUM
gvmq[A
        N[!
sC6g(
yGU-
nRUf
.+bN
\05"s}U7
+bg^
0hHZ
1C/+N
X%#$

naachhh,,,, kita mendapatkan informasi lainya,bahwa file.exe tersbut sebanrya adalah file.zip yang didalamnya tersimpan file Scheduled Visits.xls

vol1-C..Scheduled.Visits.exe --> Schedule.visit.zip --> Scheduled Visits.xls


hihihi...... sekarg semua file sudah terinvestigasi,
cover page.jpgc v --> coverpage.jpg
Jimmy Jungle.doc (deleted) --> Jimmy jungle.doc
Scheduled Visits.exe --> Shcedule Visit.xls


dan saatya mengextract/merecovery file tersebut dalam bentuk aslinya paling tidak kita sudah tau gambaran file apa yang dlam file image.

untuk proses recovery saya menggunakan foremost,
kesukaan saya,,, klo ada job recovery2 data,, hihihih
so,,
Code:
root@5h!n0b!:~/forensic# foremost -v -c /etc/foremost.conf -i image -o /root/forensic/IBT

-v for  verbose mode. Logs all messages to screen
-c for  set configuration file to use (defaults to foremost.conf) (byasya konfigurasi file di /etc/foremost.conf)
-i for  specify input file (default is stdin)
-o for  set output directory (defaults to output) /direktori tujuan

dan hasilnya ............................

Code:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Wed Sep  3 14:07:13 2014
Invocation: foremost -v -c /etc/foremost.conf -i image -o /root/forensic/IBT
Output directory: /root/forensic/IBT
Configuration file: /etc/foremost.conf
------------------------------------------------------------------
File: image
Start: Wed Sep  3 14:07:13 2014
Length: 1 MB (1474560 bytes)

Num      Name (bs=512)         Size      File Offset     Comment

0:      00000073.jpg           8 KB           37376
1:      00000033.doc          21 KB           16896
2:      00000104.zip           2 KB           53248
Finish: Wed Sep  3 14:07:13 2014

3 FILES EXTRACTED

jpg:= 1
ole:= 1
zip:= 1
------------------------------------------------------------------

Foremost finished at Wed Sep  3 14:07:13 2014

dan setelah di extract kita mendapatkan 3 file, persis sama yang kita investigasi sebelumnya
dan dengan extensi yang sebenrya...

Code:
root@5h!n0b!:~/forensic/IBT# ls -l
total 16
-rw-r--r-- 1 root root  806 Sep  3 14:07 audit.txt
drwxr-xr-- 2 root root 4096 Sep  3 14:07 doc
drwxr-xr-- 2 root root 4096 Sep  3 14:07 jpg
drwxr-xr-- 2 root root 4096 Sep  3 14:07 zip

saya masih penasaran dengan file zipya
so kita buka saja,

Code:
root@5h!n0b!:~/forensic/IBT/zip# unzip 00000104.zip
Archive:  00000104.zip
[00000104.zip] Scheduled Visits.xls password:
WhAAttt ...??? prompt password.. dimnta password,,
ternyata belum usai perjuangan kita,,

hErrr......... saatya kita mencari password ya
kita review file doc ya sapa tau ada informsi tntag pssword

cek dalam paragraph terakhir

" I emailed you the schedule --> (kemungkinan adalah file scedule.xls) that I am using. I think it helps me cover myself and not be predictive.
Tell me what you think. To open it, use the same password that you sent me before with that file. Talk to you later."

skali lagi "think out of the box"
think...think...think... posisikan diri kita sebgai pelaku/joe
jika saya sbgai joe,passwrd akan disimpan di file.jpg dengan teknik stenography


okey kita cek file.jpg ya
gunakan exiftool untuk mengecek metadata,sapa tau disimpan di metadata

Code:
root@5h!n0b!:~/forensic/IBT/jpg# exiftool 00000073.jpg
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
        LANGUAGE = (unset),
        LC_ALL = (unset),
        LANG = "en_US.UTF-8"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
ExifTool Version Number          : 8.60
File Name                                        : 00000073.jpg
Directory                                        : .
File Size                                           : 8.5 kB
File Modification Date/Time     : 2014:09:03 14:07:13-04:00
File Permissions                            : rw-r--r--
File Type                                           : JPEG
MIME Type                                      : image/jpeg
JFIF Version                                    : 1.01
Resolution Unit                              : inches
X Resolution                                   : 96
Y Resolution                                   : 96
Image Width                                   : 208
Image Height                                  : 199
Encoding Process                        : Baseline DCT, Huffman coding
Bits Per Sample                             : 8
Color Components                       : 3
Y Cb Cr Sub Sampling                  : YCbCr4:2:0 (2 2)
Image Size                                       : 208x199

nothing di metadata,hanya informasi umum kita coba dengan cara yang lain
chek dengan stenogram dan hasilya pun sama, chek lagi lagi dan lagi,end never give up. "TRY HARDER"

ups,,teringat ketika menginvestigasi file.exe yg ternyata adalah file.zip
kita gunakan strings
Code:
oot@5h!n0b!:~/forensic/IBT/jpg# strings 00000073.jpg
JFIF
$.' ",#
(7),01444
'9=82<.342
!22222222222222222222222222222222222222222222222222
$3br
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
        #3R
&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
A=2>c
KS,-
>!:>
0*x+
Eu,(
S,rF
dmYh
vR]M
1YY"
V6.|/4
*\n$

dan hasilnya pun sama,nothing found,,,kembali ke browser autopsy
kita analisa kembali file tersbut,,
di browser autopsy pada gambar paling atas, terdapat 3 contenst ..
and mentok dach...
wait..wait file jimmijungle.doc yang warna merah adalah file yang di delete.
dan 2 file
cover.jpgc
scedulevisit.exe adlah file utuh alias g didelete dari disket,seblum proses imaging
kesimpulanya,FAT contets harusya hanya 2 terbagi dalam bebrap sektor.

[Image: 2qw0ro5.jpg]">

cek gambar di atas yang paling bawah
di FAT ada 2 contents

73-103 (31) -> EOF
104-108 (5) -> EOF
yang kemungkinan adalah cover.jpg dan scedulevisit.exe jalan satu2ya adalah chek 1 per 1.
klik fat content
sector antara 73-103 ,cek gambar
dan langsung strings dalam bentuk ASCII,stelah dteliti scrool kebwah,
terbitlah terang, password ditemukan.. ha..ha...ha.. PW=goodtimes
ato bisa di export dl lalu,

[Image: 24o3ekp.jpg]">

Code:
root@5h!n0b!:~/Downloads# strings  vol1-Sector73.raw

dan hasilya pun sama,di slack space bwah sendiri,
then, unzip file
Code:
root@5h!n0b!:~/forensic/IBT/zip# unzip 00000104.zip
Archive:  00000104.zip
[00000104.zip] Scheduled Visits.xls password:
  inflating: Scheduled Visits.xls
root@5h!n0b!:~/forensic/IBT/zip# ls
00000104.zip  Scheduled Visits.xls
proses forensik investigasi dan recovery sudah slsai.
semua sudah tergambar jelas dan utuh.

saatya menjawab pertayaan Smile:-


1. skenario apa yang terjadi di dalamnya. -----> point 20
jawaban:
what : dalam proses investigasi di temukan adlah
ini kasus narkoba/penjualan marijuana -->menurut file.doc
who : oleh joe dan jimmy --> menurut file.doc
who : korban adalah anak2 sekolah --> sesuai dokumen file.doc
paragraph 2

where : kasus ini terjadi
di NY sesuai alamat di file.doc -->sesuai dokumen file.doc
where : lokasi penjualan di SMA2 yang terterta di dokumen.xls
when : penjualan sudah terencana dan terjdwal lihat dokumen.xls
why : probably money oriented /wanna enterprenur/distributor of the year


2.tokoh dalam kasus tersebut -----> point 20
joe dan jimmy

3. recover file tersebut ---> point 20
-- done --

4. jelaskan hidding tekniknya --> point 20
file.doc di hapus
cover.jpgc : manipulasi sector yang seharusya di 73-103 di ubah ke sector 451
chek di browser autopsy
shcedule.exe : manipulasi di extension untuk mempersulit investigasi
teknik kemungkinan menggunakan binding (40%)

5. tool yang digunakan -->
-- forensik suite autopsy
-- exiftool
-- stenosolve
-- foremost

pemenang, akan di hbungi lwat PM, dan semua partisipan akan mendpatkan sedikit bingkisan dari saya, terima kasih sudah mencoba,, kita tidak tau tau kemampuan dan skill kita jika kita tdak pernah mencoba..

keputusan tidak bisa diganggu gugat.
jika ada yang salah dan kekeliruan mohon maklum,

always " Think out of the box" and "TRY HARDER"

bulan depan, insya allah akan ada lagi forensik challenge yang lebih menantang dan
berhadiah lebih besar hihihi,,,

any question dont hesitate to contact me
this is not about money, but about "Unlock our potentially"

refrensi :
honeynet.org
Indonesia Digital forensik
www.sleutkit.org/autopsy
www.google.com
www.hackthisite.org
www.xsanlahci.org
dris-spy.blogspot.co.at[/code]
[/hide]
cara yang salah memperingati hari kartini, contohlah jiwa nasionalisme ya dan emansipasinya, bukan cara berpakainya.

#2
kerenn kuis nya
sampai sampai ane gk mengerti Sad
ada kodok teroret teroret dipinggir kali terorret teroret mencari makan teroret teroret setiap pagi teroret teroret

visit: http://warungiso.blogspot.com/

I was not smart or special but I was unix

#3
widiih manteb bener nih bro, sekali2 bikin tutor tools forensik dong, masih byk yg awam nih termasuk saya.

tks udah share disini, +2 rasanya masih kurang Big Grin

#4
sumpah ini super,...
dijelasin sejelas2nya + ada cerpen nya .... kwkwkw.... Big Grin
ane kirim teh es 1 dah om,...
5forA

#5
Shut up and take my +2 Reputation

#6
Thumbs Up 
luar biasa penjelasanya, mantab bro, thx sharenya
maju terus IBT

#7
Deleted

#8
+2 keren sekali om skenario dan challange nya (Y) (Y)






Users browsing this thread: 1 Guest(s)