Menyelesaikan Ctf Ph4nt0m 1ntrud3r dari PicoCtf, tugas ini tak jauh dari tugas Cyber Forensics dalam menganalisis File PCAP dan Tools yang akan kita gunakan yaitu WireShark.
Dalam dunia Cyber forensics analisis lalu lintas jaringan merupakan teknik yang sangat penting untuk mengidentifikasi aktivitas yang mencurigakan. yap pada Ctf ini attacker berhasil menembus sistem dan mencuri data sensitif, berikut tujuan-tujuan dari analisis Ctf ini.
- Menulusuri log pola yang mencurigakan
- Menemukan metode penyembunyian data kenapa attacker bisa sangat cerdik hingga berhasil masuk
- Rekontruksi pesan yang tersembunyi dalam trafik jaringan
Dalam asumsi ini, kalian telah mendownload file dari PicoCtf dan telah membukanya melalui Wireshark. Berikut penampakannya.
Dalam gambar diatas, saya telah menyaring berdasarkan waktu log session, jika kita amati nampak ada yang janggal.
Paket-paket memiliki Flag SYN yang dimana hanya sinkronisasi awal dan tidak membawa payload alias lenght 0, namun dalam paket SYN ini memiliki panjang length yang bervariasi antara 44 hingga 54 Byte. dan jika kita melihat kolom info, terdapat keterangan TCP PDU reassembled dimana info ini menunjukan ada data yang dikirimkan melalui paket.
Setelah kita mengetahui bahwa log ini anomali, kita bongkar satu persatu, saat tepat pada info len=12 pertama dan sampai len=4, terdapat data yang sepertinya telah diencode ke base64.
Langlah selanjutnya yang saya lakukan, Klik pada area kode base64 dan klik kanan pada Retransmitted TCP segment data (12) dan pilih Show Packet Bytes. Saya melakukan ini dari awal len=12 hingga akhir log len=4.
Setelah saya mendapatkan beberapa Code base64 dari log tersebut, saya mengurutkannya sesuai dengan Time dari log dan mendekodekan agar menampilkan Code aslinya.
Analisis log ini mengajarkan kita, bahwa ancaman tidak selalu datang dalam bentuk serangan yang mencolok, Teknik yang digunakan attacker dalam sekenario ini adalah Data Exiltration melalui SYN yang telah dimanipulasi.
Dalam Write-Up ini, saya sengaja tidak memberikan base64 dan flagnya karena saya ingin sama-sama belajar dan mengasah skill, yap supaya memiliki pengalaman nyata bagaimana analisis pcap dalam log melalui WireShark.