Cara Mengalahkan Antiforensik

Tentu saja untuk mengalahkan anti forensik maka harus diketahui teknik apa yang dilakukan oleh pelaku untuk menghindari forensik. Anti forensik sendiri berarti seperangkat teknik yang digunakan penjahat untuk menghilangkan jejak atau menghalang-halangi proses investigasi forensik. Perhatikan teknik-teknik anti forensik yang sering digunakan:

  1. Data/File Deletion
    • Ini merupakan kasus yang paling sering terjadi. Namun, penghapusan yang dilakukan sistem operasi sebenarnya hanya menghapus pointer saja dan seperti memberikan flag bahwa area tersebut sudah bisa untuk di re-write. Artinya selama sektor tidak di-rewrite maka data masih mungkin untuk dipulihkan. Penghapusan file pada file system yang berbeda tentu saja memiliki perbedaan. Pada FAT File System, sistem operasi akan mengganti file yang terhapus dengan hex byte berkode E5h, sedangkan pada NTFS File System, sistem operasi hanya akan memberikan markah file yang telah dihapus sebagai unallocated. Recycle Bin menjadi tempat pertama setelah file dihapus. Apabila file masih di Recycle Bin maka file masih sangat mungkin untuk di restore. Recycle Bin pada FAT File system berada di drive:\RECYCLED sedangkan pada NTFS File System berada di drive:\$Recycle.Bin\<SID>.
    • Teknik untuk memulihkan file yang dihapus ketika metadata tidak ditemukan salah satunya adalah file carving. Alat yang dapat digunakan misalnya Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro, dan R-Studio for Windows. Sedangkan untuk Linux dapat menggunakan alat seperti Stellar Phoenix Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec, dan Kernel for Linux Data Recovery. Bukan hanya file saja yang dihapus oleh pelaku kejahatan siber, mereka juga bisa menghapus partisi dari disk dan bahkan menggabungkannya ke primary disk. Ketika disk partition dihapus maka MBR partition table akan merekam, oleh sebab itu perlu dilakukan pemindaian secara menyeluruh dengan menggunakan R-Studio dan EaseUS Data Recovery misalnya.
  2. Password Protection
    • File finding yang berada di dalam evidence kadang juga dilakukan penguncian dengan password, oleh sebab itu digital forensics harus bisa meretas password tersebut untuk mendapatkan info dari file tersebut. Tipe dari password ada 3, yaitu cleartext password (berisi huruf, angka, karakter), obfuscated password (biasanya terenkripsi), dan password hashes (password yang di-hash tidak dapat dikembalikan). Teknik untuk meretas ketiga tipe password tersebut ada beberapa seperti dictionary attack (menggunakan diksi yang mungkin digunakan), brute forcing attacks (mengkombinasikan huruf, angka, karakter sehingga cukup lama), dan rule-based attack (ada clue yang didapatkan mengenai password). Alat yang dapat digunakan untuk melakukan crack password seperti Passware Kit Forensic (https://www.passware.com).
  3. Steganography
    • Steganography merujuk pada seni untuk menyembunyikan data dibalik data lain tanpa pengetahuan target. Misalnya pelaku dapat menyembunyikan keylogger didalam image yang terlegitimasi sehingga ketika korba mengklik gambar maka keylogger ter-capture. Contoh alat untuk mendeteksi adanya steganography seperti OpenStego (https://www.openstego.com) dan StegSpy (http://www.spy-hunter.com).
  4. Data Hiding in File System Structures
  5. Trail Obfuscation
    • File dibuat oleh pelaku dengan kondisi yang membingungkan sehingga dapat menghalangi proses investigasi. Misalnya log tampering, memuat header email yang salah, timestamp yang dimodifikasi, hingga variasi dari header file. Pelaku bisa menggunakan zombie account atau trojan commands. Alat yang mungkin digunakan pelaku seperti Timestomp untuk memodifikasi timestamp pada metadata.
  6. Artifact Wiping
    • Melakukan penghapusan file secara permanen sehingga sulit untuk dipulihkan. Sulit untuk mendapatkan data kembali jika file sudah dilakukan wipe. Rekomendasi yang dilakukan sebaiknya korban melakukan file backup untuk menghindari data yang di-wiped oleh pelaku.
  7. Overwriting Data/Metadata
    • Metadata digunakan oleh investigator untuk membuat timeline sehingga dapat merekonstruksi apa yang terjadi. Namun, ketika metadata telah ditulis ulang oleh pelaku kejahatan siber maka tugas menjadi lebih menantang.
  8. Encryption
    • Data temuan di evidence dilakukan enkripsi sehingga tidak dapat dibaca secara mudah kecuali ditemukan kunci untuk decrypt.
  9. Program Packers
  10. Minimizing Footprint
  11. Exploiting Forensics Tool Bugs
  12. Detecting Forensics Tool Activities
Ketika file dihapus dari hard drive sebenarnya pointernya dihapus oleh sistem operasi dan akan diberikan markah bahwa siap untuk di rewrite. Artinya file yang dihapus belum sepenuhnya hilang jika belum di-rewrite. Dengan demikian file yang dihapus tersebut masih mungkin untuk dipulihkan kembali. Alat yang dapat digunakan untuk memperbaiki hal tersebut seperti Autopsy, Recover My Files, EaseUS Data Recovery Wizard Pro, R-Studio dan sebagainya. Di Windows sendiri ketika file dihapus pada file system FAT maka akan diubah menjadi hex byte code E5h. Sedangkan pada file system NTFS, file yang dihapus akan ditandai sebagai tidak teralokasi di dalam $BitMap.

File carving merupakan teknik untuk memperbaiki file atau file yang terfragmentasi dari hard disk dengan memanfaatkan metadatanya. Alat untuk melakukan carving di windows seperti EaseUS Data Recovery Wizard Trial (https://www.easeus.com), Recover My Files (https://getdata.com), DiskDigger (https://diskdigger.org), Handy Recovery (https://www.handyrecovery.com), Quick Recovery (https://www.recoveryourdata.com), dan Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com). Sedangkan untuk Linux bisa menggunakan Stellar Phoenix Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec, dan Kernel for Linux Data Recovery.

Saat sebuah dokumen dibuat password maka digital forensics harus dapat membuka password tersebut untuk mendapatkan informasi dari dokumen. Password dapat di cracking dengan ophcrack atau RainbowCrack. Password sendiri ada 3 tipe, yaitu cleartext password (misalnya password querty12345), obfuscated passwords (misalnya password yang dienkripsi), dan password hashes (ini password yang sulit untuk dicari). Setelah diketahui tipe dari password maka ada 3 teknik untuk cracking password yaitu dictionary attacks (melalui kamus yang dihasilkan dari profiling), brute forcing attacks (menggunakan perangkat lunak yang menyerbu), dan rule-based attack (ketika informasi dari password diketahui misalnya diketahui password pertama qwerty123 maka mungkin saja password lainnya qwerty1234567).

Selain sebuah password yang dibuat untuk menghalangi tindak forensik, ada teknik lain yaitu steganografi yang merupakan teknik menyembunyikan data di balik data lain tanpa pengetahuan target. Tempanya berupa bit yang tidak digunakan pada data seperti di garfik, sound, text, audio, dan video. Ini tentu tidak mudah dan memerlukan kejelian yang baik. Ada beberapa alat yang dapat digunakan untuk mendeteksi adanya steganography, yaitu OpenStego (https://www.openstego.com) dan StegSpy (https://www.spy-hunter.com). Selain itu dengan menggunakan Alternate Data Streams (ADS) pada Windows NTFS dapat membuat data menjadi hide.

sumber: https://pixabay.com/photos/communication-workplace-imac-2805785/

Untuk melawan dan mengalahkan antiforensik tersebut diperlukan pemahaman yang baik mengenai teknik apa yang digunakan oleh pelaku. Hal yang perlu diperhatikan seperti melakukan pelatihan dan edukasi ke investigator forensics, memvalidasi hasil pemeriksaan dengan banyak alat, paksakan hukum yang ketat, dan gunakan CFT yang terbarukan. Gunakan alat-alat untuk melawan antiforensik yaitu Steganographu Studio, CryptaPix, GiliSoft File, wbStego, Data Stash, OmniHide PRO, Masker, DeepSound, DBAN, dan east-tec InvisibleSecrets.


ref:
ec-council

Komentar

Posting Komentar