BlackBull 🐂 CTF Kamsib merupakan seri video dari kamsib_id yang menjelaskan mengenai permainan Capture The Flag (CTF). Di sini kita akan belajar cyber security melalui permainan yang sangat menarik. Aritkel kali ini akan membahas mengenai Digital Forensics dan Matryoshka doll. Matryoshka ini adalah nama salah satu soal di PicoCTF.
PicoCTF dan CTF
Penjelasan mengenai CTF dan PicoCTF dapat dilihat di artikel sebelumnya. Langsung cekidot https://kamsib.id/capture-the-flag-ctf/picoctf/picoctf-reverse-engineering-transformation-tutorial-bahasa-indonesia/
Apa itu Forensik Digital?
Digital Forensics adalah cabang ilmu forensik yang berfokus pada pengidentifikasian, pengumpulan, analisis, dan pelaporan data digital yang berkaitan dengan suatu kejadian. Data digital dapat berupa apa saja, mulai dari data komputer, data seluler, data jaringan, hingga data cloud.
Tujuan utama digital forensics adalah untuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum. Bukti digital dapat berupa data yang tersimpan di perangkat digital, seperti dokumen, email, file gambar, file video, atau data log. Beberapa contoh kasus yang dapat diinvestigasi menggunakan forensik digital antara lain:
- Kejahatan siber, seperti pencurian data, penipuan online, atau peretasan.
- Insiden keamanan, seperti serangan ransomware atau data breach.
- Pelanggaran hukum, seperti korupsi atau pelanggaran hak kekayaan intelektual.
Forensik digital merupakan bidang yang berkembang pesat seiring dengan semakin meningkatnya penggunaan teknologi digital dalam kehidupan sehari-hari. Para ahli digital forensics harus memiliki pengetahuan dan keterampilan yang luas di bidang teknologi komputer, hukum, dan investigasi.
Laporan digital forensics biasanya berisi informasi berikut:
- Ringkasan kasus
- Data yang dikumpulkan
- Analisis data
- Kesimpulan
Laporan digital forensics dapat menjadi bukti yang kuat dalam kasus hukum. Oleh karena itu, penting untuk memastikan bahwa proses digital forensics dilakukan dengan cara yang profesional dan sesuai dengan standar yang berlaku.
Forensik Jaringan
Forensik jaringan adalah cabang ilmu forensik yang berfokus pada pengumpulan, analisis, dan pelaporan data jaringan yang berkaitan dengan suatu kejadian. Data jaringan dapat berupa apa saja, mulai dari data log, data traffic, hingga data metadata.
Forensik jaringan dapat didefinisikan sebagai penerapan metode ilmiah untuk mengidentifikasi, mengumpulkan, menganalisa, dan mempresentasikan bukti jaringan. Bukti jaringan dapat berupa data yang tersimpan di perangkat jaringan, seperti router, switch, firewall, atau server.
Aspek | Forensik Komputer | Forensik Jaringan |
Objek penyelidikan | Perangkat komputer | Jaringan komputer |
Jenis data yang dikumpulkan | Data yang tersimpan di perangkat komputer, seperti dokumen, email, file gambar, file video, atau data log | Data jaringan, seperti data log, data traffic, hingga data metadata |
Metode analisis data | Analisis data komputer | Analisis data jaringan |
Tujuan | Untuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum | Untuk mengumpulkan bukti jaringan yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum |
Forensik komputer dan forensik jaringan merupakan dua cabang ilmu forensik yang saling berkaitan. Kedua cabang ilmu ini dapat digunakan untuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum.
Matryoshka doll
Deskripsi soal
Matryoshka dolls are a set of wooden dolls of decreasing size placed one inside another. What’s the final one? Image: this
Boneka Matryoshka adalah seperangkat boneka kayu yang ukurannya diperkecil dan ditempatkan satu di dalam yang lain. File apa yang terakhir di dalam gambar tersebut?
Kurang lebih begitulah isi deskripsi dari soal Matryoshka doll berkategori forensik dengan nilai 30 poin. Sepertinya kita diminta untuk mencari sebuah file di dalam sebuah gambar. Menarik, bukan?
Pengerjaan
Tantangannya memberi kita tautan untuk mengunduh gambar bernama dolls.jpg. Hint-nya adalah “Wait, you can hide files inside files? But how do you find them?”. Dari petunjuk tersebut, kita dapat berasumsi ada file tersembunyi di dalam file ini.
Binwalk
Binwalk adalah alat untuk mencari gambar biner (binary image) tertentu untuk file yang disematkan (embedded) dan kode yang dapat dieksekusi. Alat ini adalah alat Python bawaan (built-in) yang digunakan untuk menganalisis, merekayasa balik (reverse-engineer), dan mengekstrak gambar firmware. Banyak orang yang memainkan CTF menggunakan alat ini untuk menganalisis file yang mereka temukan. Alat ini menggunakan perpustakaan libmagic, sehingga kompatibel dengan tanda tangan ajaib yang dibuat untuk utilitas file Unix.
Binwalk juga menyertakan file tanda tangan ajaib khusus (custom magic signature) yang berisi tanda tangan yang ditingkatkan untuk file yang biasanya ditemukan dalam gambar firmware seperti file terkompresi/arsip, header firmware, kernel Linux, bootloader, sistem file, dll.
Installed size: 15 KB
How to install: sudo apt install binwalk
Lanjut Pengerjaan
Kita akan mengerjakan soal CTF ini menggunakan alat tempur kita, Kali Linux. Di dalamnya sudah ada tools dengan nama binwalk. Dengan binwalk, kita coba cari file tersembunyi yang ada di dalam boneka tersebut, ya sob!
Dari sini kita tahu bahwa file ini benar-benar adalah sebuah gambar. Kita bisa juga buka gambar tersebut dan memang gambarnya tidak rusak ketika dilihat. Maka dari itu, selanjutnya kita coba menggunakan binwalk untuk melihat file tersebunyi yang ada di dalam gambar.
Dari hasil binwalk tadi, kita memperoleh folder dengan nama _dolls.jpg.extracted. Di dalam folder ini berisikan semua file hasil proses ekstraksi dari file dolls.jpg tadi, sob!
Kita coba binwalk file arsip tersebut, ternyata tidak bisa. Setelah dicek, file tersebut benar adalah file arsip dan bukan merupakan file pengecoh. Ketika dilakukan unzip, akan mengeluarkan folder yang sama dengan nama “base_images”.
Kita memperoleh gambar lagi, sob! Dengan nama file 2_c.jpg. Selanjutnya kita coba lagi lakukan binwalk terhadap file tersebut.
Sama seperti proses binwalk sebelumnya, kita memperoleh sebuah folder dengan _2_c.jpg.extracted. Folder yang berisikan hasil ekstraksi binwalk pada sebuah file.
Semakin menarik. Kita memperoleh file gambar degan nama yang mirip. Namun kali ini, di dalam folder base_images, kita memperoleh file dengan nama 3_c.jpg. Lanjut saja kita ekstrak lagi.
Lanjut binwalk, jangan lelah!
Selanjutnya kita memperoleh file 4_c.jpg dari proses menjalankan perintah binwalk -e 3_c.jpg. File tersebut juga akan kita coba binwalk lagi.
Ternyata file 4_c.jpg ini tadi adalah file terakhir, sob. Sehingga di akhir ini, kita memperoleh sebuah file zip dan sebuah file txt dengan nama flag.txt. Ketika kita baca isi file nya, kita akan memperoleh flag yang dimaksud pada soal. Selamat!