Timeline Incident on Digital Forensic Analysis
Digital forensic analyst dalam melakukan proses investigasi harus teliti dalam melakukan analisa, karena DFIR Analyst tidak boleh melewatkan informasi sekecil apapun tentang insiden yang terjadi dan mencari jejak dari pelaku yang telah ditinggalkan di dalam system. Oleh karena itu dalam melakukan analisa sering kali DFIR analyst atau investigator tidak hanya memeriksa artifact dari endpoint seperti PC, workstation, laptop, Server, namun juga device-device lain yang mungkin terdapat bukti adanya suatu insiden seperti log firewall, log network, log aplikasi, hingga log database, dan artifact lainnya.
Diharapkan dengan melakukan analisa dari endpoint maupun device-device lain yang terkait, DFIR analyst akan semakin banyak mendapat insight dari suatu insiden. Semakin banyak informasi yang dikumpulkan, akan semakin baik nantinya bagi DFIR analyst dalam menyimpulkan suatu insiden berdasarkan fakta yang ada. Namun, sering kali karena terlalu banyak finding atau temuan, DFIR Analyst confused karena terlalu banyak informasi yang diperoleh, sehingga tidak mendapatkan gambaran besar suatu insiden dari temuan-temuan tersebut.
Oleh karena itu agar tidak semakin confused dari banyaknya informasi yang dikumpulkan, dari sekian banyak temuan tersebut, informasi yang diperoleh harus di lakukan direview kembali mana yang terkait dengan insiden dan mana yang tidak terkait dengan insiden kemudian dijadikan dalam sebuah “timeline” kejadian dari awal hingga akhir suatu kejadian berdasarkan urutan waktu untuk dapat melihat gambaran besar dari temuan yang telah dilakukan.
Berikut ini merupakan contoh dari Timeline insiden yanag dapat digunakan:
Atau juga dapat dilakukan dengan cara embuat timeline seperti gamabr berikut ini :
beberapa gambar diatas merupakan contoh bagaimana menyusun temuan yang disusun berdasarkan waktu kejadian. oleh karena itu dalam melakukan timeline incident PERLU DIPERHATIKAN waktu yang menjadi acuan di endpoint ataupun security device disamakan zona-nya supaya tidak membingungkan dalam menyusun timeline bisa menggunakan NTP (Network Time Protocol) yang seragam dan sync satu samalain supaya waktu yang diberikan oleh device tidak berbeda.
Dalam menyusun timeline insiden maka perlu dilakukan kesepakatan untuk menggunakan waktu lokal atau waktu UTC+0 supaya tidak terjadi kesalahan dalam memahami peristiwa yang disusun berdasarkan waktu. Standardnya dalam melakukan DFIR investigation, semua timeline dalam bentuk format UTC+0.
Timeline Analysis
Timeline analysis adalah proses mengumpulkan dan menganalisis data peristiwa untuk menentukan kapan dan apa yang telah terjadi pada sistem file untuk tujuan forensik.
Tidak menutup kemungkinan attacker akan mengirimkan malware kedalam sistem dan melakukan perubahan file didalam suatu sistem. Untuk mengetahui adanya perubahan didalam sistem dilakukan analisa terhadap perubahan MAC(B) dari suatu file :
- Modified
- Access
- Changed ($MFT Modified)
- Birth (Created / pembuatan file didalam sistem pertama kali)
di file sistem NTFS setiap perubahan akan disimpan didakam MFT (Master File Table) yang memiliki beberapa atribut seperti $standard_information dan $file_name dimana kedua file tersebut menunjukkan timestamp dari suatu metadata file berdasarkan MAC(b).
terdapat perbedaan antara :
- $standard_information ($STDINFO) : meyimpan informasi tentang informasi sebuah file termasuk timestamp, permissions, SID, owner dari suatu file. $STDINFO ini dapat dimodifikasi oleh user level seperti timestomp untuk mengaburkan analisa.
- $file_name ($FILENIME) : timestamp, nama file, namun $FILENIME ini hanya bisa berubah pada system kernel karena suatu perubahan sehingga (saat ini) masih belum mungkin dilakukan manipulasi seperti menggunakan tools timestomp.
Berikut adalah beberapa keterangan yang bisa digunakan apakah suatu file adalah file original, file copy, modifikasi, ataupun deleted
Untuk menghasilkan timeline analisis dilakukan setelah endpoint / target dilakukan akuisisi dengan tools forensic seperti FTK Imager, Encase, Linux DD, DCFLDD , etc akan menghasilkan file image dari endpoint yang akan dilakukan timeline analysis. beberapa tools seperti Autopsy , Encase dapat melakukan timeline analysis berdasarkan MACB dari suatu file secara otomatis.
Selain autopsy dan encase dalam melakukan timeline analysis juga dapat dilakukan dengan “supertimeline” yaitu mengumpulkan berbagai macam timestamp dari registry, eventlogs, program execution, dll menggunakan tools bernama “Plaso” baik di windows maupun di linux.
Dalam file system NTFS ada beberapa metadata yang dapat dimanfaatkan dalam membuat timeline analysis yaitu :
- $MFT : Master File Table yang menyimpan semua informasi semua file dan folder yang masuk didalam sistem, bahkan dapat menunjukkan adanya penambahan file, penghapusan, hingga adanya modifikasi dari suatu file. $MFT ini terdapat di root setiap partisi. untuk melakukan analisa $MFT ini dapat menggunakan ANJP, MFTExplorer, atau NTFSLogParser,
- $USNJrnl : USNJrnl merupakan (Update, Sequence, Number Journal) merupakan salah satu file yang menyimpan adanya perubahan yang dilakukan disuatu partinsi dalam file sistem NTFS. path dari $UsnJrnl ini terletak di $Extend\$UsnJrnl dan biasanya $UsnJrnl ini dapat diparsing menggunakan tools antara lain ANJP, MFTExplorer, NTFSLogParser, UsnJrnl2CSV, atau NTFS $UsnJrnl Parser
Pada saat melakukantimeline analysis terkadang terdapat ratusan atau bahkan jutaan baris terhadap perubahan yang terjadi di dalam sistem, maka hampir mustahil analis melakukan analisa dari awal hingga akhir timeline. Oleh karena itu diperlukan informasi atau clue dari system owner mengenai kapan suatu insiden terjadi atau diketahui supaya analis fokus pada waktu-waktu yang berdekatan dari suatu insiden.
Referensi
https://www.andreafortuna.org/2017/10/06/macb-times-in-windows-forensic-analysis/
https://sect.iij.ad.jp/en/d/2018/04/044132/training_material_sample_for_timeline_analysis.pdf
https://www.champlain.edu/Documents/LCDI/Timeline_Creation_and_Analysis_Guides.pdf
https://fwhibbit.es/en/what-happened-the-abc-of-the-macb
https://www.sans.org/blog/windows-7-mft-entry-timestamp-properties/
