Support

OS Forensic Explanation

Penjelasan dari simulasi sebelumnya

Skenario Simulasi

Scenario

Proses Simulasi

Simulasi SISOP

Penjelasan Simulasi

OS Forensic Explanation

Penjelasan Forensik Digital: Jejak Aktivitas Operating System

🔍 A. Teori Dasar Forensik Sistem Operasi

Dalam forensik digital, kita menganalisis jejak aktivitas sistem operasi untuk:

  • Mengidentifikasi aktivitas mencurigakan

  • Melacak penggunaan file sensitif

  • Menemukan eksfiltrasi data

  • Melihat aktivitas user dan proses

Objek utama yang dianalisis:

  • File system events (buat, ubah, hapus, rename)

  • Proses dan argumen proses

  • Akses terhadap file sensitif

  • Pemakaian command line tools

  • SSH key creation, password leak, dll.

🔧 B. Penjelasan Log Berdasarkan Simulasi

📌 1. FILE_CREATED:/home/victim-sisop/file.zip

Terdeteksi pembuatan file ZIP — kemungkinan langkah awal untuk mengarsipkan atau menyembunyikan file.

Interpretasi forensik:

  • Pelaku sedang mengkompres data.

  • Bisa indikasi eksfiltrasi data (mau dikirim keluar atau disalin diam-diam).

📌 2. ZIP_FILE_DETECTED:/home/victim-sisop/file.zip

File berekstensi .zip ditemukan, berarti bisa mengandung data penting atau dicurigai telah dienkripsi.

Interpretasi forensik:

  • Berarti sistem monitoring aktif memantau file yang berpotensi dikompresi dengan password.

  • File ZIP password-protected sering dipakai untuk menghindari deteksi.

📌 3. SENSITIVE_FILE_ACCESSED:/home/victim-sisop/file.zip

File ZIP dianggap sensitif dan sedang diakses, mungkin oleh proses zip, cat, less, atau semacamnya.

Interpretasi forensik:

  • Menandakan akses aktif terhadap file penting.

  • Bisa mengindikasikan langkah terakhir sebelum penghapusan atau pemindahan data.

📌 4. FILE_DELETED:/home/victim-sisop/file.zip

File ZIP dihapus setelah dibuat.

Interpretasi forensik:

  • Indikasi upaya menghapus jejak.

  • Tapi kita bisa lihat sebelumnya sudah dibuat salinan file lain (zieimbnx), jadi kemungkinan dihapus setelah dipindahkan.

📌 5. FILE_CREATED:/home/victim-sisop/zieimbnx

📌 6. FILE_MODIFIED:/home/victim-sisop/zieimbnx

File baru dengan nama acak dibuat & dimodifikasi.

Interpretasi forensik:

  • Nama acak (zieimbnx) adalah tanda teknik obfuscation (menyembunyikan maksud file).

  • Bisa jadi ini hasil renaming atau penyimpanan ulang file sensitif dalam bentuk terenkripsi atau tersamarkan.

📌 7. FILE_MOVED:/home/victim-sisop/file.zip

File ZIP dipindahkan — mungkin dilakukan mv, atau zip menghasilkan file di lokasi lain lalu file asli dihapus.

Interpretasi forensik:

  • Indikasi file di-rename atau disimpan ulang, untuk menyulitkan pelacakan.

  • Umumnya bagian dari tactics anti-forensik.

📌 8. SSH_KEYGEN_DETECTED:PID=49505

Deteksi pembuatan kunci SSH (ssh-keygen).

Interpretasi forensik:

  • Langkah serius dari attacker untuk:

    • Menanam akses permanen ke sistem (backdoor via SSH key)

    • Menghindari password login ke depannya

  • Sangat penting dicatat karena SSH key bisa membuka akses ke banyak host.

✅ C. Penilaian Praktis & Efektivitas Sistem Monitoring

Sistem monitoring kamu sudah mampu mendeteksi jejak penting dalam serangan siber, termasuk:

  • Data exfiltration (zip + move)

  • Obfuscation (rename jadi zieimbnx)

  • Persistensi (SSH keygen)

Namun ada satu kekurangan:

Argumen password -P belum berhasil ditangkap.

Ini penting karena:

  • Bukti penggunaan enkripsi terproteksi password

  • Bisa menambah poin forensik: “attacker menggunakan enkripsi untuk menyembunyikan data”

PreviousSimulasi SISOPNextNational

Last updated