Jul Ismail

Infrastruktur server perusahaan startup anda belakangan ini mendeteksi anomali trafik jaringan berupa upaya cracking password secara masif. Sebagai tim Blue Team, Anda ditugaskan untuk memasang sensor “jebakan” (honeypot) di jaringan. Tujuannya adalah mengelabui penyerang agar mereka mengira telah berhasil masuk ke server utama, sehingga kita bisa mempelajari metode penyerangan, password apa saja yang mereka gunakan, dan perintah (command) apa yang mereka ketikkan setelah berhasil masuk.

1. Buka Linux anda dan jalankan perintah berikut di terminal:

sudo apt-get update
sudo apt-get install git python3-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind -y

2. Menambahkan user: 
Honeypot tidak boleh dijalankan menggunakan akses root untuk menghindari kompromi sistem jika honeypot tersebut memiliki kerentanan.

sudo adduser –disabled-password cowrie
sudo su – cowrie

3. Kloning repositori:
git clone http://github.com/cowrie/cowrie
cd cowrie

4. Setup Virtual Environment (Python):
virtualenv –python=python3 cowrie-env source cowrie-env/bin/activate
pip install upgrade pip
pip install -r requirements.txt

5. Konfigurasi Honeypot:
cp etc/cowrie.cfg.dist etc/cowrie.cfg
nano etc/cowrie.cfg

6. Jalankan cowrie:
bin/cowrie start

7. Simulasi Serangan. Mahasiswa bekerja berpasangan. Mahasiswa A menjadi Attacker (Red Team), Mahasiswa B menjadi Defender (Blue Team). Setelah itu peran ditukar. Pastikan kalian saling terhubung!

8. Tugas penyerang:
nmap -p 2222 -sV <IP_Target>
ssh root@<IP_Target> -p 2222

setelah berhasil login:
cat /etc/passwd
grep -i “password” /var/log/syslog
tar -czvf /tmp/backup.tar.gz /var/www/html/
uname -a

9. Tugas mahasiswa yang diserang (defender):
cd ~/cowrie/var/log/cowrie/

Analisa log dengan perintah berikut:
cat cowrie.json | grep “input” atau 
tail -f cowrie.log

Laporkan:
a. Jam berapa penyerang berhasil meretas sistem?
b. Apa kombinasi username dan password yang dipakai penyerang untuk masuk?
c. Tuliskan 3 perintah (command line) yang diketik oleh penyerang di dalam sistem honeypot kita.

Buat laporan dan kumpulkan ke LMS!

Petunjuk instalasi cowrie dapat dilihat juga pada link berikut:
https://docs.cowrie.org/en/latest/INSTALL.html
step 1 – 6

Anda adalah seorang konsultan keamanan aplikasi. Hari ini, tim kalian mendapatkan kontrak untuk mengaudit sebuah aplikasi Android modern berbasis Kotlin bernama AllSafe. Pengembang aplikasi ini mengklaim bahwa sistem mereka “100% aman”. Tugas kalian adalah membuktikan bahwa klaim tersebut salah dengan membongkar aplikasi, menemukan rahasia yang disembunyikan di dalam kode, dan melaporkan kerentanannya.

Misi 1: Persiapan

1. Unduh target:
   https://github.com/t0thkr1s/allsafe/releases/latest/download/allsafe.apk
2. Scan dengan MobSF:
   a. buka web https://mobsf.live di browser
   b. Unggah file AllSafe.apk ke dalam platform tersebut!
   c. Tunggu proses dekompilasi dan analisis otomatis selesai
   d. Bila tidak berhasil, silahkan unduh hasil scan berikut ini: https://drive.google.com/file/d/1-UjqiDTzI4DSDSsVbL6GBxhhT3Uuu6nI/view?usp=sharing
3. Dari hasil scan dengan MobSF, laporkan:
   a. Berapa Risk Score yang didapatkan aplikasi ini? (tab Security)
   b. Apakah aplikasi ini menggunakan Insecure Logging (pencatatan log yang tidak aman)? (Android API)
   c. Apakah ada Exported Activities berbahaya pada apps ini? (komponen yang bisa dipanggil oleh aplikasi lain tanpa izin).

Misi 2: Reverse Engineering
AllSafe dibangun menggunakan bahasa Kotlin, kalian harus me-reverse kodenya untuk mencari kredensial rahasia yang tertinggal oleh developer.

1. Dekompilasi Manual:
   a. Buka tab baru di browser dan akses https://www.javadecompilers.com/apk
   b. Unggah file AllSafe.apk. Proses ini akan mengubah file APK kembali menjadi struktur folder dan kode sumber (source code).
   c. Setelah selesai, klik Download dan ekstrak file .zip tersebut di laptop kalian.
   d. Bila tidak berhasil download, bisa menggunakan hasil decompile di browser anda
2. Eksplorasi source code:
   a. Buka folder hasil ekstraksi menggunakan text editor (VS Code, Notepad++)
   b. Navigasikan ke direktori sumber utama: sources/infosecadventures/allsafe/
3. Review kode:
   a. Gunakan fitur pencarian masal (Find in Files) di text editor kalian. Cari kata kunci seperti password, pin, atau login. Temukan password statis yang disematkan langsung di dalam kode untuk melakukan bypass login!
   b. Cari file kode yang bertanggung jawab atas penyimpanan data lokal (Shared Preferences). Analisis apakah data pengguna disimpan dalam format plaintext (teks terang) atau sudah dienkripsi?

Misi 3: Analisa dinamis

1. Buka terminal dan jalankan perintah untuk melihat nilai SHA256 dari apps allsafe.apk, contoh:
   untuk windows: certutil -hashfile AllSafe.apk SHA256
   linux: sha256sum AllSafe.apk
   mac: shasum -a 256 allsafe.apk
2. Salin nilai kode SHA-256 yang muncul
3. Buka browser dan akses platform: https://www.virustotal.com
4. Klik tab SEARCH, lalu masukkan kode hash SHA-256 yang kalian dapatkan pada misi 3 nomor 1.
5. Pelajari hasil analisa virus total dan laporkan:
   a. Kapan aplikasi ini pertama kali dibuat oleh pelakunya?
   b. Saat aplikasi AllSafe dijalankan, ia menghubungi belasan IP asing. Sebagai analis, pelajari IP mana yang merupakan server dari apps ini! (clue:cloudfare)
   c. Apa saja hak akses kritis yang dieksekusi saat aplikasi berjalan? (clue: Permissions Requested)
   d. Apakah aplikasi ini mencoba membuat atau menulis file tersembunyi di dalam sistem penyimpanan HP? (files written)
   Misi 4: Threat Hunting
6. Akses situs https://www.whois.com atau https://ipinfo.io
7. Masukkan alamat IP atau URL domain yang kalian temukan dari tab Behavior VirusTotal sebelumnya.
8. Di negara mana server tersebut disewa/dihosting?
9. Siapa penyedia layanan internet (Internet Service Provider / Penyedia VPS) yang digunakan oleh pelaku?
10. Dimana alamat lokasi server tersebut?
    Buat laporan dan kumpulkan ke GCR!

Kalian baru saja direkrut sebagai Junior Security Analyst di sebuah tim Keamanan. Pagi ini, ada laporan intelijen yang menunjukkan bahwa banyak infrastruktur kritis (kamera pengawas, router, dan sensor industri) di berbagai kota terekspos ke internet publik tanpa pengamanan.

Misi kalian selama 3 jam ke depan adalah melakukan threat hunting secara pasif, menganalisis kebocoran protokol IoT, dan menyusun strategi mitigasi sebelum peretas mengeksploitasi celah tersebut.

Misi 1:OSINT IoT

Menggunakan Shodan dan Google Dorks untuk memetakan perangkat IoT yang terekspos.

1. Buka web https://www.shodan.io/ dan register!
2. Gunakan parameter pencarian spesifik di Shodan untuk menemukan webcam yang tidak terautentikasi (contoh filter: port:554 has_screenshot:true atau Server: SQ-WEBCAM)
3. Screenshot hasil pencarian Shodan yang menampilkan setidaknya 2 perangkat berbeda. Identifikasi lokasi (negara/kota) dari IP tersebut.
4. Buka web https://www.exploit-db.com/google-hacking-database
5. Cari Google Dork spesifik untuk menemukan panel login router rumahan (misal: halaman konfigurasi MikroTik atau Cisco)
6. Cari Google Dork untuk sistem SCADA (misal: WebAccess atau Water Treatment HMI).
7. Tuliskan 2 query dork yang Anda temukan dan tunjukkan screenshot hasil pencariannya di Google (Hanya tampilkan hasil pencarian, Dilarang mencoba login ke sistem target).

Misi 2: Analisis Trafik Protokol MQTT

Memahami kelemahan protokol MQTT yang tidak dienkripsi

1. Instal Mqtt explorer https://mqtt-explorer.com
2. Buka aplikasi wireshark di komputer/laptop praktikum dan mulai lakukan capture pada interface jaringan yang aktif (Wi-Fi/Ethernet).
3. Di Wireshark, terapkan filter tcp.port == 1883 (Port standar MQTT).
4. Buka mqtt Explorer: buat connection ke public broker gratis misalnya : test.mosquitto.org ; protoqol:mqtt; port 1883; validate certificate; matikan encryption (tls) connect.
5. bila berhasil: ubah topic: reversemango/sensor/suhu ; pilih data: raw ; isi data: Suhu Ruang Server: 35C – WARNING ; QoS = 0 dan jangan pilih kotak retain; kemudian publish.
6. Bila koneksi belum berhasil, coba ganti ke salah satu public broker alternatif berikut: host broker.emqx.io (Port 1883) atau host: broker.hivemq.com (Port 1883)
7. Kembali ke Wireshark dan hentikan capture. Cari paket dengan protokol MQTT.
8. Screenshot detail paket MQTT di Wireshark. Tunjukkan (highlight) bagian payload di mana pesan “Suhu Ruang Server: 35C – WARNING” terbaca dengan jelas dalam bentuk plaintext.
9. Jika protokol ini digunakan untuk mengontrol kunci pintu pintar (smart lock) di rumah, apa skenario serangan terburuk yang bisa dilakukan oleh peretas yang berada di jaringan Wi-Fi yang sama?

Misi 3: Analisis Kerentanan

1. Kembali ke temuan router atau webcam pada Misi 1. Bila Anda menemukan perangkat dengan merek dan seri tertentu (misal: D-Link DCS-932L atau router MikroTik).
2. Gunakan CVE details (cvedetails.com) atau exploit-db. Cari kerentanan spesifik untuk perangkat/firmware tersebut.
3. Tuliskan satu kode CVE (misal: CVE-2026-XXXX) yang relevan dengan perangkat IoT/Router. Jelaskan secara singkat (1 paragraf) bagaimana kerentanan tersebut dieksploitasi (apakah Remote Code Execution, Authentication Bypass, dll) berdasarkan deskripsi di database.

Misi 4: Perancangan Mitigasi

1. Berdasarkan temuan dari fase-fase sebelumnya, buatlah sebuah rangkuman rekomendasi teknis untuk mengamankan web kamera dan router: (Minimal 3 langkah teknis, misal: Mengubah default kredensial)
2. Bagaimana cara menambal celah plaintext yang kalian temukan di misi 2? (Penjelasan mengenai implementasi MQTTS / TLS di port 8883 dan otentikasi username/password pada broker).

Misi 5: Mirai Botnet

1. Buka browser dan masuk ke tryhackme.com/room/networkservices
2. Lakukan login atau register akun baru jika belum memiliki.
3. Klik tombol biru Start AttackBox di bagian atas layar untuk memunculkan mesin virtual Linux
4. Scroll ke bawah menuju Task 6 (Enumerating Telnet) dan klik tombol hijau Start Machine. Tunggu sekitar 2-3 menit hingga alamat IP target muncul.
5. Selesaikan Task 6 dan Task 7 (Telnet)!

Buat laporan dan kumpulkan ke GCR!

Praktikum ini dibagi menjadi dua fase. Pada Tahap 1 (Sandbox), Anda diizinkan menggunakan koneksi internet aktif. Namun, saat memasuki Tahap 2 hingga 4 (Eksekusi Lokal), Anda WAJIB memastikan jaringan pada Virtual Machine (VM) Kali Linux berada pada mode Host-Only atau Isolated Network. Jangan pernah mengeksekusi sampel saat VM terhubung ke internet kampus atau publik.

Persiapan:

1. Buka terminal di Kali Linux.
2. Unduh arsip sampel yang telah disiapkan melalui tautan GitHub: wget https://github.com/julismail/Reverse-Mango/blob/b366e9b9181be0a58b2c09f4485551ed41f27543/update.7z
3. Ekstrak file yang dikompresi tersebut menggunakan 7z: 7z x update.7z
4. berikan hak akses eksekusi: chmod +x updater_service

Tahap 1 Sandbox:

Tujuan: Mendapatkan gambaran cepat mengenai perilaku malware menggunakan mesin penganalisis otomatis di cloud.

Jangan jalankan file di komputer Anda! Gunakan browser web untuk mengakses layanan berikut dan unggah sampel updater_service ke dalamnya.

1. VirusTotal (virustotal.com)
2. Unggah sampel malware Anda ke sana!
3. Laporkan berapa banyak vendor keamanan yang mendeteksi sampel sebagai berbahaya?
4. Buka menu behavior! Laporkan apa saja aktifitas yang dilakukan oleh malware!
5. Hybrid-Analysis (hybrid-analysis.com)
6. Lakukan registrasi akun gratis dan unggah sampel Anda!
7. Catat aktivitas jaringan (IP/Domain) dan aktivitas mencurigakan lainnya yang ditemukan oleh mesin ini!
8. Any.Run (app.any.run)
9. Lakukan registrasi akun gratis dan unggah sampel Anda ke dalam interactive sandbox ini.
10. Perhatikan Process Tree (pohon proses) di sebelah kanan layar. Jelaskan secara singkat alur proses yang terjadi saat malware dijalankan!

Tahap 2: Analisis Perilaku Jaringan Manual

Tujuan: Menangkap bukti komunikasi jaringan secara langsung.

1. Buka terminal Kali Linux, pastikan paket pendukung terinstal dengan perintah:

sudo apt update && sudo apt install wireshark strace inotify-tools net-tools -y

2. Pastikan pengaturan jaringan pada Virtual Machine (VM) Kali Linux berada pada mode Host-Only atau Isolated Network. Putuskan segala akses ke internet luar.

3. Karena jaringan diputus, kita akan membuat perangkat dummy untuk mengelabui malware, jalankan perintah berikut di terminal:

sudo ip addr add 192.168.100.99/24 dev lo

4. Jalankan aplikasi Wireshark di latar belakang melalui terminal dengan hak akses root, lalu mulailah melakukan capture pada interface jaringan lokal (misal: lo atau eth0): sudo wireshark &

5. Umpan Server C2: Buka terminal kedua. Kita akan membuka port pendengar (listener) menggunakan alat Netcat di port langganan peretas: 4444. Terminal ini sekarang berfungsi sebagai server jahat palsu.
nc -lvnp 4444

6. Pada terminal terpisah, eksekusi file biner tersebut: ./updater_service

7. Biarkan program berjalan selama 1 menit sampai ada tangkapan IP dan port, lalu hentikan proses capture di Wireshark.

8. Berapa alamat IP dan nomor Port target yang dicoba hubungi oleh file updater_service?

9. Buka kembali Wireshark, dan cari paket yang mengarah ke port 4444. Klik kanan pada paket tersebut, pilih Follow -> TCP Stream. Apakah Anda menemukan string teks spesifik pada payload jaringan yang dikirimkan?

Tahap 3: Tracing System Calls dengan Strace

Tujuan: Membedah interaksi langsung antara malware dan sistem operasi Linux.

1. Hentikan proses malware sebelumnya jika masih berjalan (pkill updater_service).

2. Jalankan kembali malware di bawah pengawasan strace, dan arahkan seluruh catatan aktivitas sistem ke dalam file log teks:

strace -o activity.log ./updater_service

3. Gunakan perintah grep untuk menyaring informasi penting dari dalam file activity.log

4. Mencari aktivitas pembukaan file (abaikan pemuatan library standar Linux seperti /etc/ld.so.cache atau /lib/x86_64-linux-gnu/libc.so.6):

grep "openat" activity.log 
grep "/lib/" activity.log 
grep "/etc/" activity.log 

5. Mencari aktivitas komunikasi jaringan:

grep "connect" activity.log

6. File apa yang dibuat oleh malware ini dan di mana lokasinya?

7. Tuliskan baris connect secara utuh yang membuktikan malware mencoba menghubungi server luar!

Tahap 4: Analisis Persistensi & Proses Aktif

Tujuan: Mencari jejak malware yang berusaha menetap secara permanen di sistem.

1. Saat program masih berjalan di belakang, periksa daftar proses yang aktif menggunakan: ss -antp atau netstat -antp
2. Periksa apakah malware memodifikasi konfigurasi sistem untuk mengamankan jalurnya kembali dengan perintah: tail -n 20 ~/.bashrc
3. Berapa nilai Process ID (PID) dari malware tersebut?
4. Salin dan jelaskan baris aneh yang ditambahkan ke ujung file .bashrc! Taktik persistensi apa yang digunakan?

Buat laporan!

Have Fun!

Skenario Misi

Tim Incident Response kampus baru saja mengamankan sebuah file mencurigakan bernama invoice_pembayaran_kuliah.exe yang menyebar melalui email phishing. File ini dicurigai sebagai dropper ransomware. Sebagai analis keamanan, tugas Anda adalah membedah file ini tanpa menjalankannya, mengumpulkan bukti (IoC), dan menebak kemampuan malware tersebut berdasarkan struktur file-nya.

Persiapan Environment

1. Nyalakan Virtual Machine (menggunakan Kali Linux atau Linux lainnya).
2. Install tools yang dibutuhkan:

sudo apt update

sudo apt install p7zip-full radare2 peframe -y

3. Unduh arsip sampel malware: wget https://github.com/julismail/Reverse-Mango/blob/86951c2e8d75b80cf3bd88f2a392967192b2c6e4/gaskeun2.7z
4. Ekstrak sampel: 7z x gaskeun2.7z ;
5. Decode sampel: base64 -d gaskeun.txt > invoice_pembayaran_kuliah.exe
6. Putuskan koneksi internet (Host-only network).

Tahap 1: Fingerprinting & Identifikasi Dasar

Objektif: Mendapatkan identitas unik file dan memverifikasi jenis file sebenarnya.

1. Buka terminal, arahkan ke folder tempat sampel malware berada. Hitung nilai hash SHA-256:

sha256sum invoice_pembayaran_kuliah.exe

Pertanyaan:  Mengapa SHA-256 lebih direkomendasikan daripada MD5 saat ini?

2. Meskipun ekstensinya adalah .exe, buktikan bahwa file ini benar-benar file Executable. Jangan percaya dengan ekstensi .exe. Verifikasi format aslinya. Buka Terminal:

      file invoice_pembayaran_kuliah.exe

  3. Gunakan Hex Dumper untuk melihat 2 byte pertama (Magic Number):

                  hexdump -C invoice_pembayaran_kuliah.exe | head -n 5

Tahap 2: Ekstraksi String

Objektif: Mencari teks yang dapat dibaca manusia (IP, URL, path direktori, nama fungsi) yang tertanam di dalam kode.

1. Ekstrak string dengan panjang minimal 6 karakter dan simpan hasilnya ke dalam file teks agar mudah dibaca:

strings -n 6 invoice_pembayaran_kuliah.exe > hasil_string.txt

2. Gunakan perintah grep untuk mencari indikator spesifikCari IP atau URL (C2 Server):

grep -iE "http|www|\.com|[0-9]{1,3}\.[0-9]{1,3}\." hasil_string.txt

3. Di folder mana hacker berencana menyimpan malware?

4. Apakah ada sebuah flag dengan format …{..} ?

Tahap 3: Analisis Struktur PE (Portable Executable)

Tujuan: Melihat fungsi Windows (API) apa saja yang dipanggil oleh malware ini.

1. Cek Import Table: rabin2 -i invoice_pembayaran_kuliah.exe
2. Berdasarkan output di atas, cari fungsi-fungsi berikut dan jelaskan tujuannya:

Jika ada URLDownloadToFileA, apa yang bisa dilakukan malware ini?

Jika ada CreateProcessA dan VirtualAlloc, apa bahayanya bagi sistem?

Tahap 4: Deteksi Obfuscation dan Packing

Objektif: Mengetahui apakah pembuat malware mencoba menyembunyikan kodenya atau mengkompres kode untuk mempersulit analisis.

1. Cek Struktur Section: Lihat bagian-bagian (sections) dari file tersebut.

rabin2 -S invoice_pembayaran_kuliah.exe

2. Analisis malware:

• Perhatikan kolom name. Apakah Anda melihat nama section yang aneh seperti UPX0 dan UPX1?
• Bandingkan nilai vsize (Virtual Size di memori) dengan size (Ukuran file asli di disk) pada section pertama. Jika vsize jauh lebih besar, jelaskan mengapa fenomena ini terjadi pada malware yang di-pack!
• Gunakan peframe untuk merangkum seluruh temuan Anda secara otomatis.

peframe invoice_pembayaran_kuliah.exe

Laporan Akhir:

Buat ringkasan berisi:

1. Identitas Sampel: (Nama asli, Hash SHA-256, Arsitektur 32/64 bit).
2. Indikator Kompromi (IoC): (IP/Domain yang ditemukan, path direktori target, packer yang digunakan (jika ada), dan Flag CTF rahasia yang berhasil ditemukan.
3. Kapabilitas: (Kesimpulan dari fungsi API – misalnya “Malware ini mampu mengunduh file dari internet dan merekam ketikan keyboard”).

Buat Laporan dan kumpulkan ke GCR!

Anda adalah admin jaringan di PT MBG. Tadi malam, anda mendapat laporan darurat: Direktur PT.MBG telah menjadi korban penipuan siber (phishing) melalui email palsu. Pelaku mengirimkan email berisi penawaran kerjasama strategis yang sangat meyakinkan. Email tersebut menyertakan tautan untuk “mengunduh proposal kerjasama “. Sayangnya saat tautan tersebut diklik dan diunduh oleh direktur, file tersebut bukanlah dokumen proposal, melainkan sebuah malware yang mengambil alih sistem secara diam-diam.

Beruntung sistem monitoring jaringan PT.MBG berhasil merekam seluruh lalu lintas data trafik kasus ini dalam bentuk .pcap. Sebagai analis keamanan siber, tugas anda hari ini adalah membedah file .pcap tersebut, menyusun kronologi serangan, dan menemukan data apa saja yang berhasil dicuri oleh peretas!

Misi 1: Pemetaan Awal (Reconnaissance)

Sebelum melacak peretas, pastikan kita tahu perangkat mana yang sedang digunakan oleh Direktur. Buka file https://drive.google.com/file/d/1gAA_dtI-VOWT2WY8_tRjbC8wKR1Skqvv/view?usp=sharing menggunakan Wireshark.

1A. Berapa IP Address milik Direktur yang terinfeksi (korban)?1B. Apa Hostname (nama komputer) milik korban tersebut?

Misi 2: Jejak Kriminal (Web Traffic Analysis) 

Direktur mengaku mengklik tautan dari email. Mari kita cari tahu ke mana tautan itu membawanya. Gunakan filter di Wireshark (misal: http.request) atau tab Hosts/DNS di NetworkMiner.

2A. Sebutkan URL/Domain berbahaya (Website) yang diakses oleh Direktur untuk mengunduh “proposal” palsu tersebut!

2B. Apa nama file yang diunduh oleh Direktur?

Misi 3: Pembedahan Paket (File Extraction) 

Tim Reverse Engineering PT. MBG membutuhkan sampel malware tersebut untuk dianalisis lebih lanjut di lab malware.

3A. Gunakan fitur Export Objects di Wireshark atau tab Files di NetworkMiner untuk mengekstrak (mengeluarkan) file malware tersebut!

3B. Buktikan bahwa kalian berhasil mengekstraknya dengan menghitung nilai Hash (MD5/SHA256) dari file tersebut! 

Misi 4: Melacak Dalang Utama (Command & Control) 

Setelah malware berhasil masuk, ia akan berkomunikasi dengan server Command & Control (C2) milik hacker untuk menerima perintah lanjutan.

4A. Temukan IP Address dari server C2 tersebut! (Petunjuk: Perhatikan trafik HTTPS/TLS dengan volume yang tinggi dan intens setelah file berbahaya diunduh).

4B. Screenshot lalu lintas (aliran paket) yang membuktikan komputer korban sedang berkomunikasi secara aktif dengan IP server hacker tersebut!

Misi 5: Identifikasi lanjutan

5A. Identifikasi Fisik Perangkat: IP Address bisa berubah-ubah, pihak berwajib membutuhkan identitas perangkat keras (Hardware) dari laptop Direktur yang terinfeksi untuk disita.

• Buka salah satu paket yang berasal dari IP Direktur, dan lihat bagian Ethernet II di panel tengah Wireshark.
• Sebutkan MAC Address dari laptop Direktur tersebut!
• Berdasarkan MAC Address tersebut, sebutkan Vendor/Merk perangkat jaringan yang digunakan oleh laptop Direktur! 

5B. Anomali Aplikasi (User-Agent Analysis): Dalam lalu lintas web (HTTP), aplikasi selalu memperkenalkan dirinya melalui header bernama “User-Agent”.

• Lakukan klik kanan > Follow HTTP Stream pada paket saat Direktur pertama kali tertipu mengklik web jebakan (index.php). Apa nama browser (User-Agent) yang digunakanDirektur? 

5C. Mengungkap Identitas Asli Malware (OSINT – VirusTotal): Lakukan identifikasi malware menggunakan intelijen sumber terbuka (OSINT).

• Buka browser internet Anda dan kunjungi situs VirusTotal.com.
• Pilih menu Search, lalu paste (tempel) nilai Hash (MD5/SHA256) dari file malware yang sudah Anda temukan di Misi 3B tadi.
• Berdasarkan hasil pemindaian lebih dari 60 Antivirus global di VirusTotal, apa nama asli/famili dari malware yang menyerang PT. MBG ini?

Misi 6. Kesimpulan Eksekutif (BAP)  Susun semua temuan kalian dari Misi 1 hingga 5 menjadi laporan singkat yang mudah dipahami oleh jajaran direksi PT. MBG (Executive Summary). Laporkan: Kapan laptop Direktur terinfeksi, dari web apa, file apa yang diunduh, dan ke mana malware tersebut berkomunikasi.

Beberapa tools yang bisa anda gunakan:

Wireshark

Network Miner: https://www.netresec.com/?page=NetworkMiner

https://dynamitelab.com

Buat laporan dan kumpulkan!

Have Fun!

Skenario Kasus: “Operasi Tangkap Tangan Sindikat”

Setelah jejak tersangka pada pertemuan sebelumnya berhasil diinvestigasi , tim agen forensik berhasil menggerebek sebuah safehouse. Tersangka utama berhasil ditangkap saat komputernya masih menyala dan dalam kondisi login.

Sesuai SOP Forensik, mencabut kabel power akan menghilangkan semua bukti krusial di RAM (seperti password, koneksi aktif, dan riwayat terminal). Tim kalian ditugaskan untuk melakukan Live Acquisition dan membedah memori (RAM) dari laptop tersangka! Memori forensik membutuhkan environment khusus. Pastikan tools ini terpasang dan berjalan:

1. DumpIt atau FTK Imager (Untuk menangkap/merekam RAM).
2. Volatility Framework atau versi linux  (untuk versi 3 harus unduh paket symbol resmi terlebih. Petunjuk tambahan untuk volatility3 liat di bagian paling bawah setelah misi5)
3.  Hexed atau  HxD Hex Editor (Untuk Misi 5).

Misi 1: Live Acquisition (Akuisisi Memori)

Sebelum menyentuh barang bukti kasus, kalian harus membuktikan bahwa kalian bisa mengekstrak RAM dengan benar pada mesin kalian sendiri.

1. Jalankan tools DumpIt atau fitur Capture Memory pada FTK Imager di laptop fisik/Virtual Machine kalian atau Dumpit for linux.
2. Simpan file dump memori tersebut (biasanya berekstensi .raw, .mem, atau .dmp).
3. Berapa ukuran file RAM dump yang dihasilkan?

Misi 2: Profiling Sistem Target

Penyidik menyerahkan file pertama hasil rekaman RAM dari laptop tersangka di TKP.

Barang Bukti:
https://drive.google.com/file/d/1ZdxxQ_NiPuvUFjOKnQUlNG6DaStGphxd/view?usp=sharing

Instruksi: Gunakan Volatility untuk analisa file tersebut.

1. Jalankan plugin windows.info (Vol 3).
2. Jalankan plugin pencarian proses aktif seperti pslist atau pstree.
3. Apa Sistem Operasi (OS) yang digunakan tersangka?
4. Laporkan proses apa saja yang sedang berjalan saat memori di-dump! (Process Name beserta PID-nya)

Misi 3: Mengungkap Jejak Terminal

Dari Misi 2, kalian melihat ada proses cmd.exe yang aktif. Tersangka diduga sempat mengetikkan beberapa perintah ke server rahasianya sebelum ditangkap.

Barang Bukti: [Gunakan file dari Misi 2]

Instruksi:

a. Ekstrak seluruh perintah (command) yang diketikkan oleh tersangka!

b. Apa perintah terakhir yang ia eksekusi sebelum agen menggerebek kamarnya?

Misi 4: Ekstraksi Data Kritis (The Cyber Heist)
Agen lapangan menemukan salinan RAM dari laptop rekan tersangka (pelaku kejahatan siber). Diduga ia baru saja melakukan transaksi ilegal.
Barang Bukti: https://drive.google.com/file/d/1Q-WXtXYvgWg2x1kb-lqZPsIGqKPiBcSp/view?usp=sharing  

Instruksi: File RAM menyimpan semua yang tampil di layar (teks murni). Kalian bisa menggunakan Volatility (plugin yarascan/strings) atau secara manual mengekstrak teks dengan perintah strings namafile.raw > string_ram.txt lalu memfilternya dengan grep.
Cari pola (pattern) dari URL, Email, dan Kartu Kredit.

Laporkan bukti kejahatan berikut:
3 Website yang sedang/pernah dikunjungi tersangka!
3 Nomor Kartu Kredit (Credit Card) yang berhasil dicuri!
3 Alamat Email yang digunakan untuk bertransaksi!

Misi 5: Dekripsi Payload Berbahaya (File Signature)

Di dalam laptop tersangka, ditemukan 6 file berekstensi .txt. Namun saat dibuka, isinya hanya karakter aneh. Tersangka sengaja mengubah ekstensinya untuk mengelabui antivirus.

Barang Bukti:

https://drive.google.com/file/d/1ZyExD14962KErEtIiO8qW74fsXqwrXsR/view?usp=sharing

Instruksi:

1. Buka keenam file tersebut menggunakan HxD Hex Editor.
2. Periksa Magic Number (4 hingga 8 byte pertama) di kolom Hex.
3. Cocokkan hex code tersebut dengan File Signature Catalog di internet.
4. Pertanyaan Laporan: Buat tabel berisi: Nama File Awal, Magic Number (Hex), Ekstensi Asli, dan Jenis File (misal: Gambar/Dokumen/Archive).

Petunjuk instalasi tambahan untuk volatility v3:

1. Unduh paket symbol resmi dahulu pada tautan berikut: https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip .
2. Setelah diunduh, JANGAN DIEKSTRAK! Biarkan file tersebut tetap berbentuk .zip.
3. Pindahkan file windows.zip tersebut ke dalam direktori instalasi Volatility 3 Anda, tepatnya di dalam sub-folder symbols.
4. Struktur foldernya harus terlihat seperti ini: volatility3/symbols/windows.zip

Petunjuk Misi 1: Live Acquisition (Merekam RAM)

Langkah-langkah:

1. Unduh dan jalankan program DumpIt.exe (Jalankan sebagai Administrator / Run as Administrator).
2. Akan muncul jendela terminal (Command Prompt) berwarna biru.
3. DumpIt akan bertanya apakah Anda ingin memproses ekstraksi RAM. Tekan tombol y (Yes) dan tekan Enter.
4. Tunggu beberapa menit hingga proses selesai.
5. File image RAM (dengan ekstensi .raw atau .dmp) akan muncul di folder yang sama dengan tempat DumpIt berada. File ini ukurannya akan sama persis dengan jumlah RAM di laptop kalian!

Petunjuk untuk Misi 2: untuk volatility3

Langkah 1: Cek Informasi Windows (windows.info)

python vol.py -f Image_Misi_2.raw windows.info

Langkah 2: Melihat Daftar Proses (windows.pslist / windows.psscan)

python vol.py -f Image_Misi_2.raw windows.pslist

Cari program cmd.exe dan catat PID-nya. Jika ingin melihat struktur pohon, gunakan perintah windows.pstree

Petunjuk Misi 3: Mengungkap Jejak Terminal

Mengekstrak ketikan perintah (Command Line). untuk volatility3:

Langkah 1: Ekstraksi Riwayat Ketikan (windows.cmdline / windows.cmdscan)

Bash

python vol.py -f Image_Misi_2.raw windows.cmdscan

atau untuk melihat argumen saat program dijalankan:

Bash

python vol.py -f Image_Misi_2.raw windows.cmdline

Langkah 2: Ekstraksi Tampilan Layar Terminal

# 1. Pastikan sudah mencatat PID dari cmd.exe (Misal PID-nya 1234)
# 2. Dump memori proses tersebut
python vol.py -f Image_Misi_2.raw windows.memmap --dump --pid 1234

# 3. Hasilnya adalah file dengan nama berakhiran .dmp
# 4. Gunakan strings untuk membacanya 
strings pid.1234.dmp > hasil_cmd.txt

Petunjuk Misi 4: Ekstraksi Data Kritis (The Cyber Heist)

Langkah 1: Konversi RAM menjadi Teks (strings)

strings Image_Misi_4.raw > ram_teks.txt

Langkah 2: Mencari Data Menggunakan grep

Mencari Website:

grep -i “http://” ram_teks.txt

atau

grep -i “www.” ram_teks.txt

Mencari Alamat Email:

grep -i “@gmail.com” ram_teks.txt

Mencari Nomor Kartu Kredit:

grep -E -o “[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}” ram_teks.txt

Petunjuk misi5

Langkah-langkah:

1. Buka aplikasi HxD (Hex Editor).
2. Tarik (Drag and Drop) salah satu file barang bukti yang berekstensi .txt ke dalam HxD.
3. Perhatikan kolom Hex (deretan angka dan huruf di sebelah kiri).
4. Lihat 4 hingga 8 byte (pasangan angka/huruf) pertama di baris paling atas. Ini adalah Magic Number a file tersebut.
5. Buka browser internet, cari “List of File Signatures” (misalnya di Wikipedia atau Gary Kessler).
6. Cocokkan byte pertama yang kalian temukan di HxD dengan tabel di internet.
   • Contoh: Jika tertulis FF D8 FF E0, berarti itu adalah file .jpg atau .jpeg.
   • Contoh: Jika tertulis 25 50 44 46, berarti itu adalah file .pdf.
7. Tutup HxD. Rename (Ubah Nama) file barang bukti tersebut dengan mengganti .txt menjadi ekstensi yang benar. Buka file tersebut dan lihat apa isinya!

Buat laporan dan upload ke GCR!

Have Fun!