Mata Kuliah: Digital Forensic for Military Purposes
SKS: 3 SKS
Pertemuan: 10
Topik: Forensik Jaringan
Pengampu: Anindito, S.Kom., S.S., S.H., M.TI., CHFI
Forensik jaringan didefinisikan sebagai cabang forensik digital yang berfokus pada:
A. Analisis file system dan registry pada komputer
B. Pemantauan, penangkapan, pencatatan, dan analisis lalu lintas jaringan untuk pengumpulan bukti
C. Pemrograman sistem keamanan firewall
D. Desain arsitektur jaringan yang aman
E. Instalasi dan konfigurasi antivirus pada endpoint
Dalam dua pendekatan forensik jaringan menurut Marcus Ranum, metode βcatch-it-as-you-canβ berarti:
A. Menganalisis setiap paket secara real-time dan menyimpan yang relevan
B. Menangkap semua paket pada titik monitoring untuk dianalisis kemudian
C. Hanya menangkap paket yang sudah ditandai oleh IDS
D. Menyimpan hanya metadata tanpa payload
E. Menjalankan capture hanya saat serangan terdeteksi
Perbedaan utama antara forensik komputer dan forensik jaringan terletak pada:
A. Forensik komputer menggunakan tools yang lebih mahal
B. Forensik jaringan hanya bisa dilakukan secara post-mortem
C. Forensik komputer menangani data at rest, forensik jaringan menangani data in motion
D. Forensik jaringan tidak memerlukan chain of custody
E. Forensik komputer tidak bisa mendeteksi malware
Perangkat yang dipasang secara inline pada kabel jaringan untuk menyalin semua traffic tanpa mempengaruhi aliran data disebut:
A. SPAN Port
B. Network TAP
C. Proxy Server
D. Load Balancer
E. Packet Sniffer
Rasio perbandingan storage antara Full Packet Capture (PCAP) dan Flow Data untuk volume data yang sama adalah sekitar:
A. 5:1
B. 50:1
C. 100:1
D. 500:1
E. 1000:1
Informasi yang terdapat dalam Flow Data (NetFlow/sFlow/IPFIX) meliputi semua berikut ini, KECUALI:
A. IP address sumber dan tujuan
B. Port number sumber dan tujuan
C. Isi payload komunikasi
D. Jumlah bytes yang ditransfer
E. Timestamp mulai dan berakhir koneksi
Dalam TCP three-way handshake, urutan flag yang benar untuk membuat koneksi adalah:
A. ACK β SYN β SYN-ACK
B. SYN β ACK β SYN-ACK
C. SYN β SYN-ACK β ACK
D. FIN β SYN-ACK β ACK
E. RST β SYN β ACK
Banyaknya paket SYN tanpa diikuti ACK dari satu IP sumber ke banyak port pada satu target merupakan indikasi:
A. DDoS attack
B. DNS tunneling
C. TCP SYN scan
D. ARP poisoning
E. Man-in-the-middle attack
Dalam forensik DNS, banyaknya respons NXDOMAIN (domain tidak ditemukan) dari satu host internal merupakan indikator:
A. DNS server mengalami kegagalan
B. Konfigurasi DNS yang salah
C. Malware dengan Domain Generation Algorithm (DGA)
D. DNS amplification attack
E. Penggunaan VPN oleh user
DNS tunneling dapat dideteksi melalui indikator berikut, KECUALI:
A. Subdomain sangat panjang (>30 karakter)
B. Volume query tinggi ke satu domain tertentu
C. Tipe query TXT atau NULL yang tidak lazim
D. Query ke domain-domain terkenal seperti google.com
E. Entropy tinggi pada subdomain
Seorang analis menemukan HTTP POST request menggunakan User-Agent curl/7.68.0 yang mengirim file bernama laporan_operasi_q4.xlsx ke domain eksternal. Temuan ini paling mengindikasikan:
A. Akses web browsing normal
B. Software update otomatis
C. Data exfiltration melalui HTTP
D. Backup file ke cloud storage
E. Pengunduhan malware
Informasi yang masih tersedia pada traffic HTTPS (TLS) tanpa kunci dekripsi meliputi semua berikut ini, KECUALI:
A. SNI (Server Name Indication)
B. Certificate details
C. URL path lengkap
D. Ukuran data yang ditransfer
E. JA3 fingerprint hash
JA3 fingerprinting dalam konteks forensik jaringan digunakan untuk:
A. Mendekripsi traffic HTTPS
B. Mengidentifikasi implementasi TLS berdasarkan Client Hello parameters
C. Memecahkan password yang terenkripsi
D. Mendeteksi perubahan pada certificate server
E. Mengaudit konfigurasi cipher suite pada firewall
IDS yang mendeteksi serangan berdasarkan pencocokan pola yang sudah diketahui disebut:
A. Anomaly-based IDS
B. Hybrid IDS
C. Signature-based IDS
D. Heuristic IDS
E. Behavioral IDS
Alert Snort/Suricata berikut menunjukkan apa?
[**] [1:2024217:3] ET MALWARE Trickbot CnC Beacon [**] [Priority: 1]
A. Legitimate traffic ke server update
B. Komunikasi Command and Control malware Trickbot
C. Scanning port oleh attacker
D. Brute force SSH login
E. DNS amplification attack
Dalam investigasi wireless network forensics, Probe Request dari perangkat mobile mengungkap:
A. Password Wi-Fi yang tersimpan
B. Riwayat SSID jaringan yang pernah terhubung
C. Isi data yang dikirim melalui Wi-Fi
D. Konfigurasi IP address perangkat
E. Versi operating system perangkat
Indikator utama keberadaan Rogue Access Point di lingkungan jaringan militer adalah:
A. Kecepatan Wi-Fi yang lebih lambat dari biasanya
B. SSID sama dengan jaringan resmi tetapi BSSID (MAC address AP) berbeda
C. Peningkatan jumlah perangkat terkoneksi
D. Penggunaan bandwidth yang meningkat
E. Adanya jaringan 5 GHz selain 2.4 GHz
Pada covert channel menggunakan ICMP tunneling, indikator anomali yang paling jelas adalah:
A. Frekuensi ping yang sangat rendah
B. Payload ICMP yang jauh lebih besar dari normal (>64 bytes)
C. Penggunaan ICMP type 3 (Destination Unreachable)
D. Ping ke gateway default
E. Round-trip time yang stabil
Untuk analisis PCAP berukuran sangat besar (>50 GB), langkah pertama yang PALING tepat adalah:
A. Langsung membuka file di Wireshark
B. Menjalankan capinfos untuk mendapatkan statistik dasar
C. Menghapus paket yang dianggap tidak penting
D. Mengkonversi ke format text
E. Membagi file menjadi ukuran 100 MB
Regulasi di Indonesia yang mengatur bahwa intersepsi komunikasi elektronik memerlukan perintah pengadilan adalah:
A. UU No. 3 Tahun 2002 tentang Pertahanan Negara
B. UU No. 1 Tahun 2024 tentang Informasi dan Transaksi Elektronik
C. PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem Elektronik
D. Perpres No. 82 Tahun 2022 tentang BSSN
E. UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik
Jelaskan perbedaan antara pendekatan βcatch-it-as-you-canβ dan βstop, look, and listenβ dalam forensik jaringan! Kapan masing-masing pendekatan lebih tepat digunakan?
Sebutkan dan jelaskan tiga jenis bukti jaringan (network evidence) beserta kelebihan dan kekurangan masing-masing!
Apa yang dimaksud dengan Network TAP dan SPAN Port? Jelaskan perbedaan keduanya dalam konteks pengumpulan bukti jaringan!
Sebutkan lima sumber log jaringan yang penting untuk forensik dan informasi kunci yang dapat diperoleh dari masing-masing!
Jelaskan bagaimana TCP flags (SYN, ACK, FIN, RST, PSH) dapat digunakan untuk mendeteksi aktivitas mencurigakan seperti port scanning dan brute force! Sertakan contoh filter Wireshark yang relevan!
Jelaskan mekanisme DNS tunneling dan mengapa teknik ini efektif untuk data exfiltration! Sebutkan minimal lima indikator yang dapat digunakan untuk mendeteksinya!
Bandingkan informasi yang masih tersedia dan yang terenkripsi pada traffic HTTPS! Jelaskan bagaimana analis forensik tetap dapat memperoleh informasi berharga dari traffic terenkripsi!
Jelaskan konsep JA3 fingerprinting dan bagaimana teknik ini digunakan untuk mengidentifikasi malware yang berkomunikasi melalui HTTPS!
Jelaskan perbedaan antara signature-based IDS dan anomaly-based IDS! Dalam skenario militer, mengapa pendekatan hybrid lebih direkomendasikan?
Sebutkan dan jelaskan tujuh langkah metodologi rekonstruksi serangan berbasis jaringan! Berikan contoh aktivitas pada setiap langkah!
Jelaskan tantangan khusus dalam wireless network forensics! Bagaimana Probe Request dan Rogue AP detection dapat membantu investigasi?
Seorang analis menemukan bahwa host 192.168.1.50 mengirim 200 ICMP echo request per menit ke 203.0.113.100 dengan payload rata-rata 512 bytes selama 24 jam. Hitung estimasi volume data yang dieksfiltrasikan dan jelaskan mengapa pola ini mencurigakan dibandingkan dengan ping normal!
Jelaskan strategi bertahap untuk menganalisis file PCAP berukuran 50 GB! Sebutkan tools yang digunakan pada setiap tahap dan alasannya!
Jelaskan pertimbangan hukum dan etika dalam melakukan full packet capture pada jaringan militer Indonesia! Referensikan regulasi yang relevan dan prinsip-prinsip yang harus diterapkan!
Berdasarkan log korelasi berikut, lakukan rekonstruksi serangan dan petakan ke dalam Cyber Kill Chain!
08:20:00 [DNS] 192.168.1.100 β exploit-kit.malware.net
08:20:01 [FW] ALLOW β 203.0.113.50:80 (HTTP)
08:20:02 [IDS] ET EXPLOIT Kit Landing Page detected
08:20:05 [Proxy] GET /payload.exe β 200 OK
08:20:10 [FW] ALLOW β 198.51.100.25:443 (HTTPS)
08:20:11 [IDS] ET MALWARE CnC Beacon Activity
08:21:00 [FW] ALLOW β 198.51.100.25:443 (5.2 MB)
08:21:30 [IDS] ET POLICY Large Outbound Data Transfer
Latar Belakang:
Tim Satsiber TNI menerima alert dari IDS di jaringan Kodam XII/Tanjungpura. Selama satu minggu terakhir, alert berkala terdeteksi dari satu workstation unit Intelijen. Alert muncul secara konsisten pada interval ~5 menit, dimulai sekitar pukul 02:00 dini hari dan berakhir sekitar pukul 04:30.
Data yang Tersedia:
IDS Alert Log:
[IDS] 2025-01-15 02:00:03 ET MALWARE CnC Activity 192.168.10.45 β 185.100.87.XXX:443
[IDS] 2025-01-15 02:05:02 ET MALWARE CnC Activity 192.168.10.45 β 185.100.87.XXX:443
[IDS] 2025-01-15 02:10:04 ET MALWARE CnC Activity 192.168.10.45 β 185.100.87.XXX:443
... (berlanjut hingga 04:30)
[IDS] 2025-01-15 02:30:15 ET POLICY Large Outbound Data Transfer 192.168.10.45 β 185.100.87.XXX:443 (45 MB)
PCAP Analysis (partial):
TLS SNI: cloud-sync.net
Certificate: Self-signed, CN=localhost, Valid: 2025-01-01 to 2026-01-01
JA3 Hash: 72a589da586844d7f0818ce684948eea (match: Cobalt Strike)
DNS Log:
2025-01-15 01:59:58 192.168.10.45 A cloud-sync.net β 185.100.87.XXX
2025-01-15 02:00:01 192.168.10.45 TXT dGhpcyBpcyBhIHRlc3Q.data.cloud-sync.net
Informasi Host:
Pertanyaan:
1a. Analisis semua bukti jaringan yang tersedia dan identifikasi minimal 5 indikator compromise (IOC) yang menunjukkan aktivitas malicious! Jelaskan signifikansi masing-masing IOC! (15 poin)
1b. Berdasarkan JA3 hash dan pola komunikasi, identifikasi jenis malware yang digunakan! Jelaskan bagaimana JA3 fingerprinting membantu identifikasi meskipun traffic terenkripsi! (10 poin)
1c. Jelaskan mengapa penyerang memilih interval 5 menit dan waktu 02:00-04:30! Apa implikasi pola beaconing ini terhadap strategi deteksi? (10 poin)
1d. Buat rencana investigasi forensik jaringan lengkap! Tentukan tools yang akan digunakan, data tambahan yang perlu dikumpulkan, dan langkah-langkah analisis! (15 poin)
1e. Analisis implikasi keamanan temuan ini terhadap operasional Kodam XII! Rekomendasikan minimal 5 langkah mitigasi dan perbaikan yang harus dilakukan! (15 poin)
Latar Belakang:
Administrator jaringan Lantamal V (Pangkalan Utama TNI AL) Surabaya mendeteksi anomali pada traffic DNS. Volume query DNS dari satu subnet meningkat 500% dalam 3 hari terakhir. Sebagian besar query menuju domain yang sama: secure-update.tech.
Data yang Tersedia:
DNS Query Log (sample):
2025-02-10 14:23:01 10.20.30.45 TXT dGFrdGlzIGRlZmVuc2UgcGxhbg.data.secure-update.tech
2025-02-10 14:23:02 10.20.30.45 TXT b3BlcmF0aW9uIHJlcG9ydCBxNA.data.secure-update.tech
2025-02-10 14:23:03 10.20.30.45 TXT c2hpcCBsb2NhdGlvbiBkYXRh.data.secure-update.tech
2025-02-10 14:23:04 10.20.30.45 TXT Y3JldyBtYW5pZmVzdCBkZXRhaWw.data.secure-update.tech
... (ribuan query serupa)
Flow Data Summary:
Source: 10.20.30.45 β DNS Server 10.20.30.1 β Upstream DNS
Protocol: UDP/53
Avg Query Rate: 150 queries/menit
Avg Subdomain Length: 35 karakter
Total DNS Traffic (3 hari): ~2.8 GB
Normal DNS Traffic (baseline): ~50 MB/hari
Wireshark Statistics:
Protocol Hierarchy: DNS 78% of all traffic from 10.20.30.45
DNS Query Types: TXT (92%), A (6%), AAAA (2%)
Unique subdomains queried: 147,852
Response NXDOMAIN: 0% (semua resolve)
Host Information:
Pertanyaan:
2a. Decode sampel DNS query yang diberikan dan tentukan jenis informasi apa yang sedang dieksfiltrasikan! Jelaskan implikasi keamanan terhadap operasional TNI AL! (15 poin)
2b. Berdasarkan flow data, hitung estimasi total volume data yang berhasil dieksfiltrasikan melalui DNS tunneling dalam 3 hari! Tunjukkan perhitungan Anda! (10 poin)
2c. Jelaskan mengapa DNS tunneling efektif sebagai metode exfiltration di lingkungan militer! Sebutkan minimal 4 alasan teknis dan operasional! (10 poin)
2d. Buat prosedur forensik lengkap untuk investigasi kasus ini, termasuk: bukti yang harus diamankan, tools yang digunakan, analisis yang dilakukan, dan format laporan forensik! (15 poin)
2e. Rekomendasikan arsitektur keamanan DNS yang dapat mencegah serangan serupa di masa depan! Sertakan konfigurasi teknis dan kebijakan operasional! (15 poin)
| No | Jawaban | Penjelasan |
|---|---|---|
| 1 | B | Forensik jaringan mencakup pemantauan, penangkapan, pencatatan, dan analisis lalu lintas jaringan untuk pengumpulan bukti investigasi |
| 2 | B | βCatch-it-as-you-canβ menangkap semua paket pada titik monitoring, menyimpan untuk analisis kemudian (full packet capture) |
| 3 | C | Perbedaan fundamental: forensik komputer menangani data at rest (statis), forensik jaringan menangani data in motion (dinamis) |
| 4 | B | Network TAP (Test Access Point) adalah perangkat inline yang menyalin traffic secara passive tanpa mempengaruhi aliran data |
| 5 | D | Rasio PCAP:Flow β 500:1 karena flow hanya menyimpan metadata (IP, port, timestamp, byte count) tanpa payload |
| 6 | C | Flow Data hanya berisi metadata (IP, port, protocol, bytes, timestamp). Payload/isi komunikasi tidak termasuk |
| 7 | C | Urutan benar: Client kirim SYN β Server respons SYN-ACK β Client kirim ACK β Connection established |
| 8 | C | Satu IP mengirim banyak SYN ke banyak port pada satu target tanpa menyelesaikan handshake = TCP SYN scan (half-open scan) |
| 9 | C | Banyak NXDOMAIN = host mencoba resolve domain acak yang tidak ada, indikasi malware DGA yang generate domain C2 secara algoritma |
| 10 | D | Query ke domain terkenal (google.com) adalah normal. DNS tunneling terindikasi dari subdomain panjang, volume tinggi, TXT record, dan entropy tinggi |
| 11 | C | curl (bukan browser) + file militer + POST ke domain mencurigakan = data exfiltration yang disengaja melalui HTTP |
| 12 | C | URL path terenkripsi pada HTTPS. SNI, certificate, JA3, dan ukuran data masih dapat diamati |
| 13 | B | JA3 menghasilkan hash MD5 dari Client Hello TLS parameters, unik per implementasi TLS (browser, malware, tool berbeda) |
| 14 | C | Signature-based IDS mencocokkan traffic dengan database pola serangan yang sudah diketahui |
| 15 | B | βET MALWARE Trickbot CnC Beaconβ = deteksi komunikasi Command and Control malware Trickbot dengan Priority 1 (kritis) |
| 16 | B | Probe Request mengandung SSID jaringan yang pernah terhubung, mengungkap riwayat koneksi perangkat |
| 17 | B | Rogue AP/Evil Twin: SSID sama dengan resmi tapi BSSID berbeda, sering dengan enkripsi yang lebih lemah |
| 18 | B | Ping normal memiliki payload 32-64 bytes. Payload >64 bytes pada frekuensi tinggi mengindikasikan ICMP tunneling |
| 19 | B | capinfos memberikan statistik tanpa memuat seluruh file ke memori; langkah pertama sebelum analisis mendalam |
| 20 | B | UU No. 1 Tahun 2024 (revisi UU ITE) mengatur bahwa intersepsi komunikasi memerlukan perintah pengadilan/penegak hukum |
Perbedaan dua pendekatan forensik jaringan:
| Aspek | Catch-it-as-you-can | Stop, look, and listen |
|---|---|---|
| Metode | Tangkap semua paket, analisis nanti | Analisis real-time, simpan yang relevan |
| Storage | Sangat besar (~10 TB/hari untuk 1 Gbps) | Relatif kecil |
| Kelengkapan | Bukti lengkap (termasuk payload) | Mungkin kehilangan detail |
| Latensi analisis | Tinggi (post-capture) | Rendah (near real-time) |
Kapan digunakan:
Skor: 5 poin (2 poin definisi, 2 poin perbandingan, 1 poin konteks penggunaan)
Tiga jenis bukti jaringan:
Skor: 5 poin (1 poin per jenis + kelebihan/kekurangan, 2 poin perbandingan)
Network TAP (Test Access Point):
SPAN/Mirror Port:
Perbedaan utama: TAP adalah hardware dedicated (lebih reliable), SPAN adalah fitur software switch (lebih praktis).
Skor: 5 poin (2 poin TAP, 2 poin SPAN, 1 poin perbandingan)
Lima sumber log jaringan dan informasi kunci:
Skor: 5 poin (1 poin per sumber log dengan informasi kunci)
TCP Flags untuk deteksi aktivitas mencurigakan:
tcp.flags.syn == 1 && tcp.flags.ack == 0tcp.flags.fin == 1 && tcp.flags.ack == 0tcp.dstport == 22 && tcp.flags.syn == 1tcp.flags.reset == 1Skor: 8 poin (2 poin per jenis deteksi Γ 3 minimal + 2 poin filter Wireshark)
Mekanisme DNS Tunneling: DNS tunneling memanfaatkan protokol DNS (port 53) untuk mengirim data non-DNS. Data dienkode (biasanya Base64) dan ditempatkan sebagai subdomain dalam DNS query. Server C2 penyerang yang mengontrol domain authoritative menerima dan mendekode data tersebut.
Contoh: dGhpcyBpcyBhIHRlc3Q.data.evil.com β Base64 decode β βthis is a testβ
Mengapa efektif:
Lima indikator deteksi:
Skor: 8 poin (3 poin mekanisme, 2 poin alasan efektif, 3 poin indikator)
Perbandingan informasi pada HTTPS:
| Masih Tersedia | Terenkripsi |
|---|---|
| IP sumber & tujuan | URL path lengkap |
| SNI (Server Name Indication) | Konten request/response |
| Certificate details (CN, issuer, validity) | Header HTTP |
| Ukuran data yang ditransfer | Cookie & kredensial |
| Pola timing koneksi | Body payload |
| TLS version & cipher suite | Query string |
| JA3/JA3S fingerprint hash | POST data |
Cara memperoleh informasi berharga:
Skor: 8 poin (3 poin perbandingan tabel, 5 poin teknik analisis)
Konsep JA3 Fingerprinting: JA3 adalah metode fingerprinting TLS yang dikembangkan oleh Salesforce. Teknik ini menghasilkan hash MD5 dari parameter Client Hello dalam TLS handshake, termasuk: TLS version, cipher suites, extensions, elliptic curves, dan elliptic curve point formats.
Setiap implementasi TLS (browser, malware, tool) memiliki kombinasi parameter yang unik, menghasilkan JA3 hash yang berbeda.
Cara identifikasi malware:
72a589da586844d7f0818ce684948eea)Skor: 8 poin (3 poin konsep, 3 poin cara identifikasi, 2 poin contoh)
Perbandingan:
| Aspek | Signature-based | Anomaly-based |
|---|---|---|
| Metode | Cocokkan pola serangan yang diketahui | Deteksi penyimpangan dari baseline normal |
| Kelebihan | Akurat, false positive rendah | Deteksi serangan baru/zero-day |
| Kelemahan | Tidak deteksi zero-day | False positive tinggi |
| Database | Perlu update signature berkala | Perlu training baseline |
| Contoh | Snort, Suricata (rule-based) | Machine learning-based anomaly detection |
Alasan hybrid direkomendasikan untuk militer:
Skor: 8 poin (3 poin perbandingan, 5 poin alasan hybrid untuk militer)
Tujuh langkah rekonstruksi serangan:
Skor: 8 poin (1 poin per langkah + contoh, 1 poin struktur keseluruhan)
Tantangan wireless network forensics:
Probe Request untuk investigasi:
Rogue AP Detection:
Skor: 8 poin (4 poin tantangan, 2 poin probe request, 2 poin rogue AP)
Perhitungan estimasi data exfiltration:
Perhitungan:
Volume = 512 bytes Γ 200/menit Γ 60 menit Γ 24 jam
= 512 Γ 200 Γ 60 Γ 24
= 512 Γ 288,000
= 147,456,000 bytes
= ~140.6 MB dalam 24 jam
Mengapa pola ini mencurigakan (perbandingan dengan ping normal):
| Parameter | Normal Ping | Temuan Ini | Rasio Anomali |
|---|---|---|---|
| Frekuensi | 1-4/siklus | 200/menit | ~50-200Γ |
| Payload | 32-64 bytes | 512 bytes | ~8-16Γ |
| Durasi | Beberapa detik | 24 jam terus | Continuous |
| Destination | Bervariasi | Satu IP tetap | Persistent |
| Pola | Sporadis | Sangat reguler | Machine-like |
Signifikansi:
Skor: 12 poin (4 poin perhitungan benar, 4 poin perbandingan, 4 poin analisis signifikansi)
Strategi bertahap analisis PCAP 50 GB:
Tahap 1: Overview β Tool: capinfos
capinfos file.pcap untuk statistik dasarTahap 2: Automated Parsing β Tool: Zeek
zeek -r file.pcapTahap 3: Flow Summary β Tool: TShark
tshark -r file.pcap -q -z conv,tcp untuk ringkasan konversiTahap 4: Targeted Filtering β Tool: tcpdump
tcpdump -r file.pcap -w subset.pcap "host 192.168.1.100"Tahap 5: Split β Tool: editcap
editcap -c 100000 subset.pcap split_Tahap 6: Deep Analysis β Tool: Wireshark
Peringatan: JANGAN langsung buka file 50 GB di Wireshark β akan menyebabkan crash atau hang.
Skor: 12 poin (2 poin per tahap Γ 6 tahap)
Pertimbangan hukum network monitoring militer Indonesia:
Regulasi yang relevan:
Prinsip yang harus diterapkan:
Dilema etika:
Contoh banner login:
PERINGATAN: Sistem ini milik TNI. Semua aktivitas dimonitor dan dicatat.
Penggunaan tidak sah akan diproses sesuai hukum yang berlaku.
Skor: 12 poin (4 poin regulasi, 4 poin prinsip, 4 poin etika)
Rekonstruksi serangan dan mapping Cyber Kill Chain:
| Waktu | Sumber | Event | Kill Chain |
|---|---|---|---|
| 08:20:00 | DNS | Resolve exploit-kit.malware.net | Delivery |
| 08:20:01 | Firewall | ALLOW HTTP ke 203.0.113.50 | Delivery |
| 08:20:02 | IDS | Exploit Kit Landing Page | Exploitation |
| 08:20:05 | Proxy | Download payload.exe | Installation |
| 08:20:10 | Firewall | ALLOW HTTPS ke 198.51.100.25 | Command & Control |
| 08:20:11 | IDS | CnC Beacon Activity | Command & Control |
| 08:21:00 | Firewall | 5.2 MB outbound ke C2 | Actions on Objectives |
| 08:21:30 | IDS | Large Outbound Data Transfer | Actions on Objectives |
Analisis detail:
Observasi kritis:
Skor: 12 poin (4 poin mapping benar, 4 poin analisis detail, 4 poin observasi kritis)
1a. Identifikasi IOC (15 poin):
Lima+ IOC yang teridentifikasi:
72a589da586844d7f0818ce684948eea): Konfirmasi penggunaan framework post-exploitation Cobalt StrikedGhpcyBpcyBhIHRlc3Q) menunjukkan DNS tunneling sebagai secondary C2 channel1b. Identifikasi malware (10 poin):
Malware yang digunakan: Cobalt Strike Beacon
JA3 fingerprinting membantu karena:
72a589da586844d7f0818ce684948eea cocok dengan database threat intelligence untuk Cobalt StrikeCobalt Strike adalah framework red team/post-exploitation yang sering digunakan oleh APT groups untuk operasi C2. Kemampuannya meliputi: beaconing, keystroke logging, screenshot, file transfer, lateral movement, dan privilege escalation.
1c. Analisis pola beaconing (10 poin):
Alasan interval 5 menit:
Alasan waktu 02:00-04:30:
Implikasi terhadap strategi deteksi:
1d. Rencana investigasi forensik jaringan (15 poin):
Tools yang digunakan:
Data tambahan yang perlu dikumpulkan:
Langkah-langkah analisis:
1e. Implikasi dan rekomendasi (15 poin):
Implikasi keamanan:
Rekomendasi mitigasi (minimal 5):
2a. Decode DNS query dan implikasi (15 poin):
Decode Base64 dari subdomain:
dGFrdGlzIGRlZmVuc2UgcGxhbg β "taktis defense plan"
b3BlcmF0aW9uIHJlcG9ydCBxNA β "operation report q4"
c2hpcCBsb2NhdGlvbiBkYXRh β "ship location data"
Y3JldyBtYW5pZmVzdCBkZXRhaWw β "crew manifest detail"
Informasi yang dieksfiltrasikan:
Implikasi keamanan terhadap TNI AL:
Ini merupakan ancaman serius terhadap keamanan operasional (OPSEC) TNI AL.
2b. Estimasi volume exfiltration (10 poin):
Perhitungan berdasarkan flow data:
Total DNS traffic 3 hari: 2.8 GB
Normal baseline: 50 MB/hari Γ 3 hari = 150 MB
Anomalous traffic: 2.8 GB - 150 MB = ~2.65 GB total DNS traffic anomali
Estimasi data efektif (mengingat overhead DNS):
Setiap DNS query: ~35 karakter subdomain Γ 0.75 (Base64 efficiency) β 26 bytes data per query
Query rate: 150 queries/menit
Data per menit: 150 Γ 26 = 3,900 bytes/menit
Data per jam: 3,900 Γ 60 = 234,000 bytes/jam β 228 KB/jam
Data per hari: 228 KB Γ 24 = ~5.5 MB/hari
Data 3 hari: ~16.5 MB efektif
Alternatif (berdasarkan total DNS anomali):
DNS overhead (header, response) β 50-70% dari total
Data efektif β 30-50% dari 2.65 GB = ~800 MB - 1.3 GB
Catatan: Pendekatan berbeda menghasilkan angka berbeda karena overhead DNS bervariasi. Yang penting adalah demonstrasi metodologi perhitungan.
2c. Mengapa DNS tunneling efektif di lingkungan militer (10 poin):
Minimal 4 alasan teknis dan operasional:
2d. Prosedur forensik lengkap (15 poin):
Bukti yang harus diamankan:
Tools yang digunakan:
tshark -r file.pcap -Y "dns.qry.type==16" -T fields -e dns.qry.nameAnalisis yang dilakukan:
Format laporan forensik:
2e. Arsitektur keamanan DNS (15 poin):
Konfigurasi teknis:
Kebijakan operasional:
This repository is licensed under the Creative Commons Attribution 4.0 International (CC BY 4.0).
Commercial use is permitted, provided attribution is given to the author.
Β© 2026 Anindito