Digit Oktavianto Web Log

Catatan Sampah si Digit

Instalasi Dan PoC Ghost USB Honeypot

| Comments

Hi all. Saya ingin sedikit menulis mengenai proses instalasi dan POC Ghost USB Honeypot. Sebelumnya saya ingin menjelaskan prinsip dan cara kerja Ghost USB Honeypot ini. Ghost USB Honeypot ini bekerja seolah-olah seperti ada ada USB Storage device yang tertancap ke dalam komputer (mounted). Kenapa dikatakan sebagai Ghost USB? Karena memang tidak ada USB storage device yang termount di dalam komputer tersebut. Ghost USB ini mengemulasi seolah-olah terdapat USB storage device, dan mencoba menipu malware.

Seperti kebanyakan aktivitas malware, ketika terdapat removeable media yang tertancap di dalam sebuah PC, malware biasanya akan otomatis meng-copy kan dirinya ke dalam removable media tersebut. Konsep inilah yang di usung oleh Sebastian Poeplau untuk menjaring / menjebak malware tersebut dengan menciptakan fake USB storage device.

Ketika malware sudah meng-copykan dirinya ke dalam fake USB tersebut, Ghost USB Honeypot ini bisa di unmount dan nanti akan terdapat sebuah .img file pada folder C: anda. (biasanya namanya gdxx.img) File image ini yang sudah mengandung malware, bisa kita ambil, dan kita pindahkan ke sandbox malware environment yang lebih aman, untuk kita analisa lebih jauh mengenai malware tersebut.

Baik langsung saja akan saya tulis step by step proses instalasi Ghost USB Honeypot ini. Namun sebelumnya berikut saya informasikan environment OS yang saya gunakan beserta pre-requisite nya :

Environment OS :

Windows XP no SP di dalam sebuah Virual Machine menggunakan VirtualBox


Pre-Requisite :

  1. Patch Windows XP SP 3 (Dapat di install secara offline. Silakan download di http://www.microsoft.com/en-us/download/details.aspx?id=24)

  2. DevCon (Not Defcon :D). DevCon merupakan command line utility yang bekerja seolah2 seperti device manager, hanya saja berbasis command line, dimana DevCon ini dapat melakukan enable, disable, restart, update, remove device driver. SIlakan download DevCOn ini pada http://support.microsoft.com/default.aspx?scid=kb;en-us;Q311272

  3. WDFCoInstaller (Windows Driver Framework CoInstaller) dapat di download di http://msdn.microsoft.com/en-US/windows/hardware/br259104

  4. Windows Installer versi terbaru (saya menggunakan versi 4.5) dapat di download di http://www.microsoft.com/en-us/download/details.aspx?id=8483

  5. Ghost USB Honeypot Binary dapat di download di http://ghost-usb-honeypot.googlecode.com/files/ghost-v0.1-winxp.zip


Step By Step

  1. Install Service Pack Windows SP3

  2. Install WIndows Installer Versi 4.5

  3. Extract file ghost-v0.1-winxp.zip. Nanti akan ada 5 buah file, yaitu ghostbus.inf, GhostBus.sys, ghostdrive.ing, GhostDrive.sys, GhostTool.exe

  4. Install WDFCoInstaller.

  5. Masuk ke folder berikut :

     C:\Program Files\Windows Kits\8.0\redist\wdf\x86
    

    Lalu copy kan 2 buah file yang bernama WdfCoInstaller01009.dll dan WUDFUpdate01009.dll. Gabungkan kedua file tersebut menjadi satu folder dengan 5 buah file hasil extract ghost-usb tadi (step 3)

  6. Download DevCon. Lalu extract file DevCon tersebut. dan ambil file DevCon.exe sesuai dengan arsitektur OS yang anda gunakan (saya x86).

  7. Gabungkan file DevCon.exe dengan file-file dari step 5. Jadi sekarang total ada 8 buah file dalam satu folder, yaitu ghostbus.inf, GhostBus.sys, ghostdrive.ing, GhostDrive.sys, GhostTool.exe, WdfCoInstaller01009.dll, WUDFUpdate01009.dll, dan DevCon.exe

  8. Buka Command Prompt anda,dan masuk ke folder dimana terdapat 8 buah file tersebut.

  9. Ekseskusi perintah berikut ini :

     C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>devcon.exe i
    

    nstall ghostbus.inf root\ghostbus

    Akan muncul seperti ini :

      Device node created. Install is complete when drivers are updated...
      Updating drivers for root\ghostbus from C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb\ghostbus.inf.
      Drivers updated successfully.
    
  10. Lalu eksekusi perintah berikut ini :

    C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>GhostTool.exe mount 0
    

    Akan muncul seperti ini :

    GhostTool version 0.1 Opening bus device… Activating GhostDrive… Finished

  11. Akan muncul Found New Hardware Wizard. Silakan ikuti screenshot di bawah ini :

  12. Setelah itu akan muncul new hardware, seperti seolah-olah ada USB storage device yang tertancap. Ini merupakan fake USB atau Ghost USB Honeypot. Ukuannya 100 Mb. Pertama kali anda harus memformatnya terlebih dahulu dengan menggunakan File System FAT.

  13. Setelah itu silakan anda menunggu jika PC anda infected, lalu Malware akan meng-copy kan diri ke fake USB tersebut, lalu Fake USB tersebut di unmount akan ada peringatan sebagai berikut :

Untukmelakukan unmount silakan gunakan perintah seperti ini :

```
C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>GhostTool.exe umount 0
```

Akan muncul seperti ini :

GhostTool version 0.1
Opening Ghost Drive...
Sending umount command...
Image has been written to!
Opening bus device...
Deactivating GhostDrive
Finished

File image akan di tulis pada folder C:\ anda. Biasanya bernama seperti ini gdxx.img. Silakan copykan image tersebut dan silakan anda analisa pada Malware sandbox anda.

Selamat Mencoba


Happy Hacking :D

Comments