digital-forensics

Latihan Pertemuan 01: Pengantar Forensik Digital dalam Konteks Militer

Mata Kuliah: Digital Forensic for Military Purposes
SKS: 3 SKS
Pertemuan: 01
Topik: Pengantar Forensik Digital dalam Konteks Militer
Pengampu: Anindito, S.Kom., S.S., S.H., M.TI., CHFI

Petunjuk Pengerjaan

  1. Kerjakan semua soal secara mandiri
  2. Waktu pengerjaan: 120 menit
  3. Untuk soal pilihan ganda, pilih satu jawaban yang paling tepat
  4. Untuk soal uraian, jawab dengan lengkap dan sistematis
  5. Studi kasus memerlukan analisis mendalam dan penerapan konsep

Bagian A: Soal Pilihan Ganda (20 Soal)

Soal 1

Forensik digital adalah cabang ilmu forensik yang berfokus pada:

A. Analisis sidik jari dan DNA di lokasi kejahatan komputer
B. Identifikasi, pengumpulan, preservasi, analisis, dan penyajian bukti digital
C. Pemrograman software untuk keamanan komputer
D. Instalasi antivirus dan firewall
E. Desain jaringan komputer yang aman

Soal 2

Prinsip Locard’s Exchange dalam konteks forensik digital menyatakan bahwa:

A. Semua bukti digital harus dienkripsi
B. Setiap kontak meninggalkan jejak
C. Bukti digital tidak dapat dipalsukan
D. Investigator harus memiliki sertifikasi
E. Chain of custody harus dijaga

Soal 3

Manakah yang BUKAN merupakan subdisiplin forensik digital?

A. Computer Forensics
B. Network Forensics
C. Hardware Forensics
D. Mobile Forensics
E. Cloud Forensics

Soal 4

Tahun berapakah Dartmouth Conference yang melahirkan istilah “Artificial Intelligence” terjadi, yang juga menjadi tonggak awal perkembangan komputasi modern termasuk forensik digital?

A. 1943
B. 1950
C. 1956
D. 1984
E. 1998

Soal 5

Unit forensik komputer pertama yang dibentuk oleh FBI pada tahun 1984 bernama:

A. Digital Forensics Unit (DFU)
B. Computer Analysis and Response Team (CART)
C. Cyber Crime Investigation Team (CCIT)
D. Scientific Working Group on Digital Evidence (SWGDE)
E. Computer Emergency Response Team (CERT)

Soal 6

Dalam prinsip dasar forensik digital, “Chain of Custody” mengacu pada:

A. Rantai perintah dalam organisasi investigasi
B. Dokumentasi kronologis penanganan bukti
C. Urutan prioritas pengumpulan bukti
D. Hubungan antara tersangka dan bukti
E. Prosedur backup data forensik

Soal 7

Kejahatan siber di mana komputer menjadi sasaran serangan disebut:

A. Computer as Tool
B. Computer as Incidental
C. Computer as Target
D. Computer as Evidence
E. Computer as Medium

Soal 8

Ancaman yang berasal dari individu dalam organisasi yang memiliki akses sah ke sistem disebut:

A. External Threat
B. Advanced Persistent Threat
C. Insider Threat
D. Zero-Day Threat
E. Distributed Threat

Soal 9

Manakah yang BUKAN merupakan karakteristik Advanced Persistent Threat (APT)?

A. Menggunakan teknik canggih
B. Bertahan dalam sistem untuk waktu lama
C. Biasanya dilakukan oleh script kiddies
D. Memiliki tujuan spesifik
E. Sering menggunakan zero-day exploits

Soal 10

Dalam Cyber Kill Chain, tahap di mana penyerang membuat payload berbahaya disebut:

A. Reconnaissance
B. Weaponization
C. Delivery
D. Exploitation
E. Installation

Soal 11

Karakteristik bukti digital yang menyatakan bahwa bukti tidak terlihat tanpa alat khusus adalah:

A. Fragile
B. Latent
C. Volatile
D. Duplicable
E. Time-sensitive

Soal 12

Urutan pengumpulan bukti berdasarkan volatilitas (Order of Volatility) yang BENAR adalah:

A. Hard Disk → RAM → CPU Register
B. RAM → Hard Disk → Network State
C. CPU Register → RAM → Hard Disk
D. Network State → Hard Disk → RAM
E. Backup → Hard Disk → RAM

Soal 13

Algoritma hash yang direkomendasikan untuk forensik digital saat ini adalah:

A. MD5
B. SHA-1
C. CRC32
D. SHA-256
E. MD4

Soal 14

Forensic Readiness terdiri dari empat pilar, KECUALI:

A. Policy
B. Technology
C. Budget
D. People
E. Process

Soal 15

Undang-undang di Indonesia yang mengatur tentang bukti elektronik sebagai alat bukti yang sah adalah:

A. UU No. 36 Tahun 1999 tentang Telekomunikasi
B. UU No. 1 Tahun 2024 tentang ITE
C. UU No. 3 Tahun 2002 tentang Pertahanan Negara
D. UU No. 14 Tahun 2008 tentang KIP
E. UU No. 19 Tahun 2016 tentang Perubahan UU ITE

Soal 16

Dalam kerangka NIST SP 800-86, fase di mana investigator melakukan korelasi dan interpretasi temuan disebut:

A. Collection
B. Examination
C. Analysis
D. Reporting
E. Preservation

Soal 17

Tool forensik yang digunakan untuk membuat forensic image adalah:

A. Wireshark
B. Volatility
C. FTK Imager
D. Process Monitor
E. Autoruns

Soal 18

Komponen Computer Network Operations (CNO) yang berfokus pada perlindungan sistem sendiri adalah:

A. CNA (Computer Network Attack)
B. CND (Computer Network Defense)
C. CNE (Computer Network Exploitation)
D. CNI (Computer Network Intelligence)
E. CNR (Computer Network Reconnaissance)

Soal 19

Kriteria agar bukti digital dapat diterima di pengadilan (admissibility) meliputi hal berikut, KECUALI:

A. Authenticity
B. Reliability
C. Popularity
D. Relevance
E. Completeness

Soal 20

Standar internasional ISO/IEC 27037 mengatur tentang:

A. Analisis dan interpretasi bukti digital
B. Identifikasi, pengumpulan, akuisisi, dan preservasi bukti digital
C. Pengujian keamanan sistem informasi
D. Manajemen risiko keamanan informasi
E. Sertifikasi profesional forensik digital

Bagian B: Soal Uraian (15 Soal)

Soal 1 ⭐

Jelaskan perbedaan antara forensik tradisional dan forensik digital dari aspek objek, lokasi, dan volatilitas bukti!

Soal 2 ⭐

Sebutkan dan jelaskan lima prinsip fundamental dalam forensik digital!

Soal 3 ⭐

Apa yang dimaksud dengan prinsip Locard’s Exchange? Berikan tiga contoh penerapannya dalam forensik digital!

Soal 4 ⭐

Jelaskan perbedaan antara Insider Threat dan External Threat! Sebutkan masing-masing dua contoh!

Soal 5 ⭐⭐

Gambarkan dan jelaskan tujuh tahapan dalam Cyber Kill Chain! Pada tahap mana forensik digital paling efektif untuk mengumpulkan bukti?

Soal 6 ⭐⭐

Jelaskan lima karakteristik bukti digital dan implikasi masing-masing terhadap proses investigasi!

Soal 7 ⭐⭐

Apa yang dimaksud dengan Order of Volatility? Mengapa konsep ini penting dalam investigasi forensik digital? Berikan contoh urutan pengumpulan bukti!

Soal 8 ⭐⭐

Jelaskan konsep Forensic Readiness dan empat pilarnya dalam konteks organisasi militer!

Soal 9 ⭐⭐

Bandingkan peran Cyber Intelligence dan Forensik Digital dalam operasi pertahanan! Bagaimana keduanya saling melengkapi?

Soal 10 ⭐⭐

Jelaskan tiga komponen Computer Network Operations (CNO) dan bagaimana forensik digital berperan dalam masing-masing komponen!

Soal 11 ⭐⭐

Sebutkan empat kriteria admissibility bukti digital dan jelaskan cara memenuhi masing-masing kriteria tersebut!

Soal 12 ⭐⭐⭐

Jelaskan perbedaan antara algoritma hash MD5, SHA-1, dan SHA-256! Mengapa SHA-256 direkomendasikan untuk forensik digital saat ini?

Soal 13 ⭐⭐⭐

Buat template sederhana Chain of Custody form dan jelaskan setiap elemen yang harus ada di dalamnya!

Soal 14 ⭐⭐⭐

Seorang investigator forensik militer diminta oleh atasannya untuk “memastikan” bukti menunjukkan tersangka bersalah. Analisis dilema etis ini dan jelaskan bagaimana investigator seharusnya merespons!

Soal 15 ⭐⭐⭐

Jelaskan bagaimana forensik digital dapat mendukung proses attribution dalam serangan siber terhadap infrastruktur kritis nasional! Sebutkan level-level attribution dan teknik forensik yang digunakan!

Bagian C: Studi Kasus (2 Kasus)

Studi Kasus 1: Insider Threat di Markas Komando

Latar Belakang:

Markas Komando Daerah Militer (Kodam) X mengalami insiden kebocoran data sensitif. Dokumen operasi rahasia ditemukan tersebar di forum online pada tanggal 15 Januari 2026. Dokumen tersebut berisi rencana operasi pengamanan perbatasan yang seharusnya hanya diakses oleh personel dengan clearance level tertentu.

Informasi Awal:

Tim Investigasi:

Pertanyaan:

1a. Klasifikasikan jenis ancaman pada kasus ini berdasarkan sumber ancaman! Jelaskan alasan klasifikasi Anda! (10 poin)

1b. Identifikasi sumber-sumber bukti digital yang harus dikumpulkan dalam investigasi ini! Urutkan berdasarkan Order of Volatility! (15 poin)

1c. Buat rencana langkah-langkah investigasi forensik yang akan dilakukan! Sertakan tools yang akan digunakan untuk setiap langkah! (15 poin)

1d. Jelaskan bagaimana Anda akan menjaga Chain of Custody untuk USB drive yang ditemukan! Buat form Chain of Custody sederhana untuk bukti tersebut! (15 poin)

1e. Jika Anda menemukan bukti bahwa Mayor A memang pelaku, tetapi juga menemukan bukti tindak pidana lain (penggelapan uang) di komputernya, bagaimana seharusnya Anda menangani situasi ini? (10 poin)

Studi Kasus 2: Serangan APT pada Sistem Pertahanan Udara

Latar Belakang:

Pusat Operasi Pertahanan Udara Nasional (Pus Ops Hanud Nas) mendeteksi anomali pada sistem radar terintegrasi mereka. Tim SOC (Security Operations Center) mencatat beberapa indikator mencurigakan:

Temuan SOC:

  1. Network traffic keluar ke IP address yang berlokasi di luar negeri meningkat signifikan pada jam 02:00-04:00 selama 2 minggu terakhir
  2. Ditemukan scheduled task baru pada salah satu workstation yang tidak sesuai dengan inventory
  3. Beberapa event log pada server radar menunjukkan penghapusan tidak wajar
  4. Account service yang seharusnya non-interactive tercatat melakukan login interaktif
  5. Firewall mencatat koneksi outbound ke port tidak standar (port 8443)

Infrastruktur yang Terdampak:

Pertanyaan:

2a. Berdasarkan indikator yang ditemukan, analisis apakah ini merupakan APT (Advanced Persistent Threat)! Jelaskan karakteristik APT yang terpenuhi! (15 poin)

2b. Petakan temuan SOC ke dalam tahapan Cyber Kill Chain! Di tahap mana serangan ini terdeteksi? (15 poin)

2c. Identifikasi bukti digital yang harus dikumpulkan dari setiap komponen infrastruktur! Pertimbangkan bahwa ini adalah sistem classified! (15 poin)

2d. Buat analisis PEAS (Performance, Environment, Actuators, Sensors) untuk forensic readiness sistem pertahanan udara berdasarkan pembelajaran dari insiden ini! (10 poin)

2e. Bagaimana forensik digital dapat membantu proses attribution untuk serangan ini? Jelaskan langkah-langkah dan tantangan yang mungkin dihadapi! (10 poin)

Kunci Jawaban

Bagian A: Pilihan Ganda

No Jawaban Penjelasan
1 B Forensik digital mencakup identifikasi, pengumpulan, preservasi, analisis, dan penyajian bukti digital untuk keperluan hukum
2 B Prinsip Locard menyatakan setiap kontak (interaksi) meninggalkan jejak digital
3 C Hardware Forensics bukan subdisiplin utama. Subdisiplin utama: Computer, Network, Mobile, Memory, Malware, Cloud Forensics
4 C Dartmouth Conference tahun 1956 adalah tonggak sejarah komputasi modern
5 B FBI membentuk CART (Computer Analysis and Response Team) pada tahun 1984
6 B Chain of Custody adalah dokumentasi kronologis penanganan bukti dari pengumpulan hingga presentasi di pengadilan
7 C Computer as Target adalah kategori di mana komputer menjadi sasaran serangan (hacking, DDoS, malware)
8 C Insider Threat adalah ancaman dari dalam organisasi dengan akses sah
9 C APT dilakukan oleh aktor berkemampuan tinggi (biasanya nation-state), bukan script kiddies
10 B Weaponization adalah tahap pembuatan payload berbahaya sebelum delivery
11 B Latent berarti bukti tidak terlihat tanpa alat khusus (memerlukan tools forensik)
12 C Order of Volatility yang benar: CPU Register → RAM → Hard Disk (dari paling volatile)
13 D SHA-256 direkomendasikan karena MD5 dan SHA-1 sudah compromised
14 C Empat pilar Forensic Readiness: Policy, Technology, People, Process. Budget bukan pilar utama
15 B UU No. 1 Tahun 2024 tentang ITE mengatur bukti elektronik sebagai alat bukti sah
16 C Analysis adalah fase korelasi dan interpretasi temuan dalam NIST SP 800-86
17 C FTK Imager adalah tool untuk membuat forensic image. Wireshark untuk network, Volatility untuk memory
18 B CND (Computer Network Defense) berfokus pada perlindungan sistem sendiri
19 C Popularity bukan kriteria admissibility. Kriteria: Authenticity, Reliability, Relevance, Completeness
20 B ISO/IEC 27037 mengatur identifikasi, pengumpulan, akuisisi, dan preservasi bukti digital

Bagian B: Uraian

Jawaban Soal 1 ⭐

Perbedaan Forensik Tradisional dan Digital:

Aspek Forensik Tradisional Forensik Digital
Objek Bukti fisik (sidik jari, DNA, serat) Bukti elektronik (file, log, metadata)
Lokasi TKP fisik yang dapat didefinisikan Tersebar di komputer, jaringan, cloud, dapat melewati batas geografis
Volatilitas Relatif stabil, tidak mudah berubah Sangat volatile, dapat berubah atau hilang dalam hitungan detik

Jawaban Soal 2 ⭐

Lima Prinsip Fundamental Forensik Digital:

  1. Tidak Mengubah Bukti: Setiap tindakan investigator tidak boleh mengubah data asli. Gunakan write blocker dan buat forensic image.

  2. Chain of Custody: Dokumentasi lengkap tentang siapa menangani bukti, kapan, dan untuk tujuan apa. Menjamin integritas bukti dari pengumpulan hingga pengadilan.

  3. Kompetensi: Investigator harus memiliki pengetahuan, keterampilan, dan sertifikasi yang sesuai dengan kompleksitas investigasi.

  4. Dokumentasi: Semua aktivitas harus didokumentasikan secara detail dan kontemporer (saat kejadian berlangsung).

  5. Hukum dan Etika: Kepatuhan terhadap hukum yang berlaku dan standar etika profesi dalam melakukan investigasi.

Jawaban Soal 3 ⭐

Prinsip Locard’s Exchange: Prinsip yang menyatakan bahwa setiap kontak atau interaksi meninggalkan jejak. Dalam forensik digital, setiap aktivitas pengguna atau sistem akan meninggalkan artefak digital.

Tiga Contoh Penerapan:

  1. Mengakses website: Meninggalkan jejak berupa cache, cookies, browser history, dan DNS cache

  2. Menghapus file: Meninggalkan entry di file system journal ($MFT, $LogFile), dan file mungkin masih dapat di-recover dari unallocated space

  3. Menjalankan program: Meninggalkan jejak di prefetch files, registry (UserAssist), event logs, dan memory

Jawaban Soal 4 ⭐

Perbedaan Insider Threat vs External Threat:

Aspek Insider Threat External Threat
Sumber Dari dalam organisasi Dari luar organisasi
Akses Memiliki akses sah Harus mendapatkan akses
Pengetahuan Memahami sistem internal Perlu reconnaissance
Deteksi Sulit dideteksi Relatif lebih mudah

Contoh Insider Threat:

  1. Karyawan yang menyalin data rahasia ke USB pribadi
  2. Administrator IT yang menyalahgunakan privilege untuk akses tidak sah

Contoh External Threat:

  1. Hacker yang melakukan phishing untuk mendapat kredensial
  2. Kelompok APT yang menyerang infrastruktur kritis

Jawaban Soal 5 ⭐⭐

Tujuh Tahapan Cyber Kill Chain:

  1. Reconnaissance: Pengumpulan informasi target (scanning, OSINT)
  2. Weaponization: Pembuatan payload berbahaya (exploit + backdoor)
  3. Delivery: Pengiriman payload ke target (email, web, USB)
  4. Exploitation: Eksploitasi kerentanan untuk menjalankan kode
  5. Installation: Instalasi backdoor/malware untuk persistence
  6. Command & Control (C2): Komunikasi dengan server penyerang
  7. Actions on Objectives: Pencapaian tujuan akhir (exfiltration, sabotage)

Tahap Paling Efektif untuk Forensik:

Jawaban Soal 6 ⭐⭐

Lima Karakteristik Bukti Digital:

Karakteristik Deskripsi Implikasi
Latent Tidak terlihat tanpa alat khusus Memerlukan tools forensik untuk ekstraksi
Fragile Mudah dimodifikasi/dihancurkan Preservasi segera diperlukan
Cross-Jurisdiction Dapat melewati batas geografis Kompleksitas hukum internasional
Duplicable Dapat disalin sempurna Memungkinkan analisis tanpa merusak asli
Time-Sensitive Dapat berubah seiring waktu Akuisisi cepat diperlukan

Jawaban Soal 7 ⭐⭐

Order of Volatility: Urutan pengumpulan bukti berdasarkan seberapa cepat data dapat hilang atau berubah.

Pentingnya konsep ini:

Contoh urutan pengumpulan:

  1. CPU Register & Cache (nanoseconds)
  2. RAM (hilang saat power off)
  3. Network State (real-time)
  4. Running Processes (saat shutdown)
  5. Hard Disk (persisten)
  6. Backup Media (sangat persisten)

Jawaban Soal 8 ⭐⭐

Forensic Readiness: Kemampuan organisasi untuk memaksimalkan penggunaan bukti digital sambil meminimalkan biaya investigasi.

Empat Pilar dalam Konteks Militer:

Pilar Implementasi Militer
Policy SOP forensik sesuai regulasi militer, kebijakan klasifikasi data
Technology Centralized logging, forensic toolkit, secure storage
People Tim forensik internal terlatih, sertifikasi personel
Process Incident response plan, prosedur chain of custody

Jawaban Soal 9 ⭐⭐

Perbandingan Cyber Intelligence dan Forensik Digital:

Aspek Cyber Intelligence Forensik Digital
Fokus Threat prediction Incident investigation
Timing Proaktif Reaktif
Output Threat reports, IOC Evidence reports

Saling Melengkapi:

Jawaban Soal 10 ⭐⭐

Tiga Komponen CNO dan Peran Forensik:

Komponen Deskripsi Peran Forensik
CND (Defense) Melindungi sistem sendiri Incident response, threat hunting, analisis malware
CNA (Attack) Mengganggu sistem adversary Post-operation analysis, damage assessment
CNE (Exploitation) Mengumpulkan intelijen Analisis data yang diakuisisi, attribution

Jawaban Soal 11 ⭐⭐

Empat Kriteria Admissibility:

Kriteria Cara Memenuhi
Authenticity Hash verification, chain of custody, digital signatures
Reliability Tool validation, standard procedures, competent examiner
Relevance Scope investigation yang jelas, dokumentasi hubungan bukti dengan kasus
Completeness Full forensic imaging, metadata preservation, tidak mengubah konteks

Jawaban Soal 12 ⭐⭐⭐

Perbandingan Algoritma Hash:

Algoritma Panjang Status Kolisi
MD5 128-bit Compromised Ditemukan (2004)
SHA-1 160-bit Compromised Ditemukan (2017)
SHA-256 256-bit Secure Belum ditemukan

Mengapa SHA-256 Direkomendasikan:

  1. Collision Resistance: Tidak ada kolisi yang ditemukan
  2. Panjang Hash: 256-bit memberikan ruang kombinasi 2^256
  3. Standar Industri: Diadopsi oleh NIST dan organisasi forensik
  4. Legal Acceptance: Diterima di pengadilan internasional
  5. Future-Proof: Aman untuk penggunaan jangka panjang

Jawaban Soal 13 ⭐⭐⭐

Template Chain of Custody Form:

CHAIN OF CUSTODY FORM
=====================

Case Number: ________________
Case Name: _________________
Investigator: _______________

EVIDENCE DESCRIPTION
--------------------
Item Number: ________
Description: __________________________________
Make/Model: __________________________________
Serial Number: _______________________________
Condition at Collection: _____________________
Hash (SHA-256): ______________________________

CUSTODY LOG
-----------
| Date/Time | Released By | Received By | Purpose | Location | Condition | Signature |
|-----------|-------------|-------------|---------|----------|-----------|-----------|
|           |             |             |         |          |           |           |

NOTES
-----
___________________________________________

Prepared by: _____________ Date: __________
Witnessed by: ____________ Date: __________

Elemen yang Harus Ada:

  1. Identifikasi Kasus: Nomor dan nama kasus
  2. Deskripsi Bukti: Detail lengkap termasuk serial number
  3. Hash Value: Untuk verifikasi integritas
  4. Log Transfer: Dokumentasi setiap perpindahan bukti
  5. Tanda Tangan: Bukti penerimaan dan penyerahan
  6. Saksi: Untuk validasi tambahan

Jawaban Soal 14 ⭐⭐⭐

Dilema Etis dan Respons:

Identifikasi Masalah:

Respons yang Seharusnya:

  1. Dokumentasikan permintaan tersebut secara tertulis
  2. Jelaskan kepada atasan tentang kewajiban etis dan legal
  3. Eskalasi ke penasihat hukum atau atasan lebih tinggi
  4. Tolak dengan tegas untuk memanipulasi bukti
  5. Lakukan investigasi secara objektif
  6. Laporkan semua temuan, baik memberatkan maupun meringankan

Prinsip yang Dilanggar jika Mematuhi:

Jawaban Soal 15 ⭐⭐⭐

Attribution dalam Serangan Siber:

Level Attribution dan Teknik Forensik:

Level Fokus Teknik Forensik
Technical Malware, tools, infrastruktur Reverse engineering, network forensics
Operational C2 servers, domains Infrastructure mapping, OSINT
Strategic Aktor, motivasi Pattern analysis, threat intel correlation

Langkah-langkah:

  1. Evidence Collection: Kumpulkan bukti dari sistem terdampak
  2. Malware Analysis: Identifikasi signature dan capability
  3. Infrastructure Mapping: Lacak C2 dan domains
  4. TTP Analysis: Bandingkan dengan known threat actors
  5. Correlation: Hubungkan dengan intelligence lain
  6. Documentation: Siapkan untuk tindakan diplomatik/militer

Tantangan:

Bagian C: Studi Kasus

Studi Kasus 1: Insider Threat di Markas Komando

1a. Klasifikasi Ancaman (10 poin)

Jenis Ancaman: Insider Threat

Alasan:

Subkategori: Malicious Insider (potential)

1b. Sumber Bukti Digital dan Order of Volatility (15 poin)

Urutan Pengumpulan:

Prioritas Sumber Volatilitas Lokasi
1 RAM workstation Mayor A Tinggi Jika masih menyala
2 Network connections aktif Tinggi Network state
3 Running processes Tinggi Memory
4 USB drive Sedang Evidence (fisik)
5 Hard disk workstation Rendah Computer Mayor A
6 Log server terpusat Rendah Log management server
7 AD authentication logs Rendah Domain Controller
8 Backup logs Sangat rendah Backup server

1c. Rencana Investigasi (15 poin)

Langkah Aktivitas Tools
1 Amankan TKP digital, isolasi workstation -
2 Capture RAM (jika menyala) Belkasoft RAM Capturer
3 Akuisisi USB drive FTK Imager
4 Akuisisi hard disk workstation FTK Imager (E01 format)
5 Kumpulkan log dari server terpusat Export dari SIEM
6 Analisis file access logs Eric Zimmerman Tools
7 Analisis USB history USBDeview, Registry
8 Timeline analysis Autopsy, log2timeline
9 Korelasi temuan Manual analysis
10 Pembuatan laporan Template standar

1d. Chain of Custody USB Drive (15 poin)

CHAIN OF CUSTODY FORM
=====================

Case Number: KODAM-X-2026-001
Case Name: Kebocoran Dokumen Operasi Rahasia

EVIDENCE DESCRIPTION
--------------------
Item Number: EV-001
Description: USB Flash Drive
Make/Model: SanDisk Cruzer 32GB
Serial Number: 4C530001281234
Condition: Baik, tidak ada kerusakan fisik
Collection Location: Laci meja Mayor A, Ruang 203
Collection Date/Time: 16 Januari 2026, 09:30 WIB
Collected By: Kapten B (Investigator Forensik)
Hash (SHA-256): [akan dihitung setelah imaging]

CUSTODY LOG
-----------
| Date/Time | From | To | Purpose | Condition | Signature |
|-----------|------|-----|---------|-----------|-----------|
| 16/01/26 09:30 | Lokasi | Kapten B | Collection | Baik | [TTD] |
| 16/01/26 10:00 | Kapten B | Lab Forensik | Imaging | Baik | [TTD] |
| 16/01/26 14:00 | Lab | Evidence Room | Storage | Baik | [TTD] |

NOTES
-----
USB ditemukan di laci yang tidak terkunci.
Tidak terdaftar dalam inventory perangkat resmi.

1e. Penanganan Bukti Tindak Pidana Lain (10 poin)

Langkah yang Harus Dilakukan:

  1. Stop Investigation pada temuan baru
  2. Dokumentasikan temuan penggelapan tanpa investigasi lebih lanjut
  3. Laporkan kepada atasan dan penasihat hukum
  4. Preserve bukti yang sudah ditemukan
  5. Tunggu perluasan scope atau perintah investigasi baru
  6. Jangan melanjutkan investigasi tanpa otorisasi

Alasan:

Studi Kasus 2: Serangan APT pada Sistem Pertahanan Udara

2a. Analisis APT (15 poin)

Ya, ini merupakan APT berdasarkan karakteristik:

Karakteristik APT Indikator yang Terpenuhi
Advanced Scheduled task custom, log deletion, penggunaan port non-standar
Persistent Aktivitas selama 2 minggu, persistence mechanism via scheduled task
Threat Target infrastruktur kritis (radar), intent spionase/sabotage

Bukti Tambahan:

2b. Mapping ke Cyber Kill Chain (15 poin)

Tahap Kill Chain Temuan SOC Status
1. Reconnaissance Tidak terdeteksi Pre-breach
2. Weaponization Tidak terdeteksi External
3. Delivery Via vendor maintenance? Kemungkinan
4. Exploitation Service account compromise Terindikasi
5. Installation Scheduled task baru ✅ Terdeteksi
6. C2 Traffic ke IP luar negeri, port 8443 ✅ Terdeteksi
7. Actions Log deletion, possible data exfil ✅ Terdeteksi

Serangan terdeteksi di tahap 5-7 (Installation, C2, Actions)

2c. Bukti Digital per Komponen (15 poin)

Komponen Bukti yang Dikumpulkan Pertimbangan Classified
3 Workstation RAM, hard disk image, scheduled tasks, registry Handling sesuai level klasifikasi
Server Integration Logs, running processes, network connections Clearance investigator
Log Server Remaining logs, recovery attempted deleted logs Backup verification
Network Firewall logs, PCAP jika available, NetFlow data Sanitasi sebelum analisis
Vendor Access VPN logs, maintenance records Coordination dengan vendor

2d. Analisis PEAS untuk Forensic Readiness (10 poin)

Komponen Rekomendasi
Performance Detection time < 24 jam, log retention 1 tahun, recovery capability
Environment Air-gapped classified network, vendor access control, backup systems
Actuators Automated isolation, log preservation, alert generation
Sensors SIEM, IDS/IPS, network monitoring, user behavior analytics

2e. Attribution dan Tantangan (10 poin)

Langkah Attribution:

  1. Collect IOC: IP addresses, malware samples, TTPs
  2. Malware Analysis: Reverse engineering untuk signature
  3. Infrastructure Mapping: C2 infrastructure, domains
  4. TTP Comparison: Match dengan known APT groups
  5. Intelligence Correlation: Share dengan partner intel

Tantangan:

Tantangan Deskripsi
False Flags Penyerang sengaja menyesatkan attribution
Shared Infrastructure Beberapa APT menggunakan tools yang sama
Proxy Networks C2 melalui multiple proxies
Classified Context Pembatasan sharing informasi
Geopolitical Implikasi diplomatik dari attribution

Rubrik Penilaian

Pilihan Ganda

Uraian

Studi Kasus

Total Keseluruhan: 285 poin

License

This repository is licensed under the Creative Commons Attribution 4.0 International (CC BY 4.0).

Commercial use is permitted, provided attribution is given to the author.

© 2026 Anindito