L2 Interview Prep
BAB 10 L2 INTERVIEW PREP
10
Interview: Digital Forensics
Jelaskan proses forensik digital dari awal sampai akhir.
1) Identification: Identifikasi evidence sources
(disk, memory, network, cloud).
2) Preservation: Buat forensic image, hash untuk
integrity, chain of custody.
3) Collection: Kumpulkan evidence dengan
write-blocker atau forensic tools.
4) Analysis: Analisis artifact, timeline
reconstruction, keyword search.
5) Reporting: Dokumentasi temuan dengan evidence
pendukung. 6) Presentation: Presentasi ke
stakeholder (bisa termasuk legal proceedings).
Apa itu Volatility dan plugin apa yang paling sering kamu pakai?
Volatility adalah framework open-source untuk memory forensics.
Plugin yang sering saya pakai:
pslist/pstree (process listing),
netscan (network connections),
malfind (injected code detection cari RWX memory
regions), cmdline (command line arguments),
dlllist (loaded DLLs),
handles (file/registry handles). Yang paling
penting untuk malware detection adalah
malfind karena bisa mendeteksi code injection.
Bagaimana kamu mendeteksi process injection di memory dump?
Menggunakan malfind plugin di Volatility mencari
memory regions dengan permission PAGE_EXECUTE_READWRITE (RWX) yang
mengandung executable code (MZ header). Proses legitimate jarang
memiliki RWX memory. Juga: 1) Bandingkan pslist vs
psscan proses hidden mungkin menggunakan DKOM.
2) Cek parent-child anomali (svchost tanpa
services.exe parent). 3) Cek dlllist DLL yang
loaded dari lokasi unusual.
Apa perbedaan forensic image dan forensic copy?
Forensic image (bit-for-bit copy) menangkap SEMUA
data termasuk deleted files, slack space, unallocated space. Format:
E01 (EnCase), dd (raw). Forensic copy (logical
copy) hanya menyalin file yang visible/accessible. Image lebih
komprehensif dan dibutuhkan untuk investigasi menyeluruh. Selalu
hash (MD5/SHA256) sebelum dan sesudah imaging untuk verify
integrity.
Sebutkan Windows forensic artifacts yang paling berguna untuk
incident investigation.
Execution: Prefetch, Amcache, ShimCache,
UserAssist. File access: LNK files, Jump Lists,
Recent Files, $MFT, USN Journal.
Persistence: Registry Run keys, Scheduled Tasks,
Services. Network: SRUM (System Resource Usage
Monitor). Authentication: Event logs
(Security.evtx). Timeline: $MFT timestamps (MACB
Modified, Accessed, Changed, Born). Tool favorit: KAPE untuk rapid
collection, Eric Zimmerman tools untuk parsing.
Apa itu timestomping dan bagaimana mendeteksinya?
Timestomping adalah teknik anti-forensics di mana attacker mengubah
file timestamps ($STANDARD_INFORMATION) agar file terlihat sudah
lama ada. Deteksi: bandingkan
$STANDARD_INFORMATION timestamps dengan
$FILE_NAME timestamps di $MFT attacker biasanya
hanya mengubah $SI tapi tidak $FN. Jika $SI timestamp lebih lama
dari $FN → timestomping. Tool: MFTECmd (Eric Zimmerman).
Interview: Malware Analysis
Jelaskan langkah-langkah malware triage yang kamu lakukan.
1) Hash file → cek VirusTotal.
2) File type verification (magic bytes).
3) Strings analysis extract readable strings,
cari URL, IP, registry keys, commands. 4) PE
analysis cek imports (API calls suspicious), sections (entropy
check for packing), compile time. 5) Submit ke
sandbox (Any.run, Hybrid Analysis) observe behavior: process,
file, registry, network activity. 6) Extract IOC
(C2 IP/domain, dropped files, persistence mechanisms).
7) Write YARA rule dan update blocklists.
Bagaimana kamu mengidentifikasi apakah malware di-pack?
Indikator packing: 1) High entropy pada sections
(>7.0 dari max 8.0). 2) Sedikit readable strings.
3) Section names tidak standar (.UPX0, .aspack).
4) Import table sangat kecil (hanya LoadLibrary,
GetProcAddress akan resolve API saat runtime).
5) Tool: PEiD, Detect It Easy (DIE), pestudio.
Packer umum: UPX (easy unpack), Themida, VMProtect (harder). Setelah
identifikasi, unpack dulu sebelum analisis static lanjut.
Apa itu process hollowing dan bagaimana mendeteksinya?
Process hollowing: attacker membuat proses legitimate dalam
suspended state (CreateProcess + CREATE_SUSPENDED), mengosongkan
memory-nya (NtUnmapViewOfSection), lalu mengisi dengan malicious
code (WriteProcessMemory), kemudian resume (ResumeThread). Proses
terlihat legitimate di Task Manager tapi isinya malware. Deteksi:
1) Volatility malfind RWX memory.
2) Image path di disk vs di memory berbeda.
3) Sysmon Event 8 (CreateRemoteThread).
4) EDR behavioral detection.
Jelaskan perbedaan Cobalt Strike, Metasploit, dan Sliver.
Cobalt Strike: Commercial adversary simulation tool
(sering digunakan red team DAN attacker). Beacon payload, malleable
C2 profiles, in-memory execution.
Metasploit: Open-source exploitation framework.
Meterpreter payload, banyak exploits OOTB, lebih mudah dideteksi
karena signatures well-known. Sliver: Open-source
C2 framework (Go-based), cross-platform implants, semakin populer
karena gratis dan harder to detect. Sebagai defender, kita harus
tahu indicators dari ketiganya.
Apa itu sandbox evasion dan teknik apa yang dipakai malware?
1) VM detection: Cek vmtools, VBoxGuest, registry
keys VM. 2) Timing: Sleep panjang sebelum eksekusi
(sandbox timeout). 3) User interaction: Tunggu
mouse click/movement. 4) Environment check: Cek
computer name, username (sandbox sering pakai default).
5) Resource check: Cek RAM (<4GB → likely sandbox),
CPU cores (<2 → sandbox).
6) Anti-debug: IsDebuggerPresent,
NtQueryInformationProcess. Sebagai analyst, gunakan sandbox yang
configurable dan mature (Any.run, Joe Sandbox).
Interview: Advanced Incident Response
Jelaskan bagaimana kamu menangani ransomware incident dari awal
sampai akhir.
1) Contain: Isolasi affected systems, jangan
shutdown (preserve memory). 2) Scope: Identifikasi
semua host terdampak, cek apakah backup terkena.
3) Evidence: Memory dump, disk image, collect logs.
4) Investigate: Tentukan initial access (biasanya
phishing atau RDP brute force), lateral movement path, dwell time.
5) Eradicate: Remove persistence, patch entry
point, reset credentials. 6) Recover: Restore dari
clean backup. 7) Post-incident: RCA, improve
detection, harden defenses. Jangan bayar ransom kecuali sudah
konsultasi legal/management dan sebagai last resort.
Apa yang harus kamu lakukan pertama kali saat menerima eskalasi dari
L1?
1) Review semua informasi yang sudah dikumpulkan L1
(tiket, IOC, timeline awal). 2) Validate findings
jangan assume, verifikasi. 3) Expand scope cari
related events yang mungkin terlewat L1.
4) Determine severity dan potential impact.
5) Decide containment strategy perlu immediate
action atau bisa investigate further?
6) Communicate update management jika severity
High/Critical. 7) Document setiap langkah untuk
incident timeline.
Bagaimana kamu menentukan scope of compromise setelah breach?
Mulai dari known compromised host, lalu expand:
1) EDR telemetry cari proses/IOC yang sama di
host lain. 2) SIEM cari login dari compromised
account ke host lain (Event 4624 Type 3/10, Event 4648).
3) Network cari lateral movement traffic (SMB,
WMI, PsExec patterns). 4) DNS/Proxy cari host
lain yang connect ke C2. 5) Active Directory cek
new accounts, group membership changes, GPO modifications.
6) Credential scope assume semua credentials dari
compromised hosts are compromised.
Kapan kamu memutuskan untuk engage external IR firm?
Engage external firm ketika: 1) Breach scope
melebihi kapasitas tim internal.
2) APT/nation-state involvement suspected.
3) Domain controller compromised (butuh expertise
khusus untuk recovery). 4) Legal/regulatory
requirements (data breach notification).
5) Evidence preservation untuk litigation.
6) Tim internal terlalu overwhelmed untuk handle
sendiri. Firm seperti CrowdStrike Services, Mandiant, Secureworks
memiliki experience menangani insiden besar.
Apa itu YARA rule dan bagaimana kamu menggunakannya di SOC?
YARA adalah pattern matching tool untuk mengidentifikasi malware
berdasarkan strings, byte sequences, dan conditions. Penggunaan di
SOC: 1) Scan endpoint/memory untuk malware varian
yang mirip. 2) Integrate dengan SIEM/EDR untuk
automated detection. 3) Scan file upload/email
attachment. 4) Hunt di file server untuk lateral
spread. 5) Share rules via threat intel community
(YARA-Rules repository). Saya juga familiar dengan Sigma rules untuk
detection di SIEM.
Jelaskan Diamond Model dan bagaimana kamu menggunakannya.
Diamond Model memiliki 4 elemen: Adversary (siapa),
Infrastructure (C2, domain, IP),
Capability (malware, exploit, TTP),
Victim (target). Saya menggunakannya untuk:
1) Structuring investigation memastikan semua
elemen tercakup. 2) Pivot analysis dari satu
infrastructure, cari adversary dan victim lain.
3) Campaign correlation menghubungkan insiden
yang menggunakan infrastructure/capability sama.
4) Threat intel reporting format standar untuk
share findings.
Interview: L2 Scenario-Based
Kamu menemukan Cobalt Strike Beacon di memory dump. Apa langkah
selanjutnya?
1) Extract Beacon configuration (menggunakan tool
seperti CobaltStrikeParser) dapatkan C2 server, sleep interval,
pipe name, watermark. 2) Block ALL C2 indicators di
firewall/proxy (IP, domain, JA3 hash). 3) Hunt di
seluruh environment cari host lain dengan koneksi ke C2 yang sama.
4) Check lateral movement Beacon biasanya
digunakan untuk pivot. 5) Memory dump semua
potentially compromised hosts. 6) Credential reset
assume semua credentials dari compromised hosts dikompromikan.
7) Engage management Cobalt Strike =
sophisticated attack, mungkin perlu external IR.
Domain Controller kamu terdeteksi compromised. Apa yang harus
dilakukan?
Ini adalah CRITICAL scenario DC
compromise = assume entire domain compromised.
1) DO NOT reboot DC memory evidence.
2) Memory dump SEGERA. 3) Assess
berapa DC yang compromised? 4) Jika memungkinkan,
isolasi tapi pertimbangkan business impact (semua auth tergantung
DC). 5) Reset krbtgt password 2x (untuk invalidate
all Kerberos tickets termasuk Golden Ticket).
6) Reset ALL admin credentials.
7) Check for DCSync, DCShadow, Golden/Silver
Ticket. 8) Likely need full AD rebuild engage
external IR firm.
Threat intel melaporkan zero-day exploit aktif yang mempengaruhi
software yang dipakai organisasimu. Belum ada patch. Apa yang kamu
lakukan?
1) Assess exposure berapa sistem yang menjalankan
software tersebut? Internet-facing? 2) Implement
mitigations vendor workaround, WAF rules, network segmentation.
3) Create detection rules Sigma/SIEM rules
berdasarkan known exploitation indicators. 4) Hunt
cek apakah sudah ada tanda-tanda eksploitasi di environment
(retroactive search). 5) Enhanced monitoring pada
affected systems. 6) Communicate risk ke
management. 7) Monitor vendor untuk patch release
dan deploy ASAP. 8) Jika internet-facing dan
critical consider taking offline sampai patch tersedia.
Bagaimana kamu menginvestigasi DNS tunneling?
1) Identifikasi host yang membuat unusually banyak
DNS queries. 2) Analisis domain: apakah subdomain
sangat panjang? (data encoded di subdomain). 3) Cek
query type: TXT records sering dipakai untuk C2 response.
4) Calculate entropy subdomain high entropy =
likely encoded data. 5) Cek volume: normal DNS
query kecil (<512 bytes), tunneling bisa lebih besar.
6) Tools: Zeek dns.log analysis, RITA (Real
Intelligence Threat Analytics), dnscat2 detection signatures.
7) Response: block domain, isolate host,
investigate for malware.
Tips Interview & Sertifikasi L2
Tips Khusus Interview L2
| # | Tips | Detail |
|---|---|---|
| 1 | Tunjukkan depth, bukan hanya breadth | L2 interview menguji kedalaman. Jangan hanya sebut tools jelaskan BAGAIMANA dan KAPAN kamu menggunakannya. |
| 2 | Siapkan war stories | Ceritakan insiden yang pernah kamu handle (atau lab scenario). Gunakan format STAR: Situation, Task, Action, Result. |
| 3 | Demonstrate investigation methodology | Interviewer ingin lihat structured thinking: hypothesis → evidence collection → analysis → conclusion. |
| 4 | Know your tools deeply | Bisa menggunakan Volatility, Wireshark, YARA dari command line. Tidak cukup tahu nama tool harus bisa explain output. |
| 5 | Understand attacker TTPs | L2 harus bisa berpikir dari perspektif attacker. "Jika saya attacker di posisi ini, langkah selanjutnya adalah..." |
| 6 | Report writing matters | L2 menulis incident reports. Tunjukkan kemampuan komunikasi tertulis yang jelas dan terstruktur. |
Sertifikasi L2
| Sertifikasi | Vendor | Fokus | Biaya (est.) |
|---|---|---|---|
| CySA+ | CompTIA | Security analytics, threat detection, IR langkah natural dari Security+ | ~$400 |
| BTL2 | Security Blue Team | Advanced blue team: IR, forensics, threat hunting, malware analysis (hands-on exam) | ~$800 |
| GCIH | SANS/GIAC | Incident Handler gold standard untuk IR (mahal tapi sangat dihargai) | ~$2,500+ |
| GCFE / GCFA | SANS/GIAC | Forensics Examiner / Forensic Analyst deep forensics | ~$2,500+ |
| ECIH | EC-Council | Certified Incident Handler IR processes & methodology | ~$600 |
| SC-200 | Microsoft | Security Operations Analyst jika environment pakai Microsoft stack | ~$165 |
| eCDFP / eCTHP | INE/eLearnSecurity | Digital Forensics Professional / Threat Hunting Professional | ~$400 |
Path L1 → L2: Setelah 1-2 tahun sebagai L1, targetkan
CySA+ atau BTL2 untuk transisi ke
L2. Jika employer bisa sponsor, GCIH dari SANS adalah
investasi terbaik. Sambil itu, terus bangun hands-on experience
melalui CyberDefenders, HackTheBox, dan TryHackMe (SOC Level 2 path).