Hi all. Saya ingin sedikit menulis mengenai proses instalasi dan POC Ghost USB Honeypot. Sebelumnya saya ingin menjelaskan prinsip dan cara kerja Ghost USB Honeypot ini. Ghost USB Honeypot ini bekerja seolah-olah seperti ada ada USB Storage device yang tertancap ke dalam komputer (mounted). Kenapa dikatakan sebagai Ghost USB? Karena memang tidak ada USB storage device yang termount di dalam komputer tersebut. Ghost USB ini mengemulasi seolah-olah terdapat USB storage device, dan mencoba menipu malware.
Seperti kebanyakan aktivitas malware, ketika terdapat removeable media yang tertancap di dalam sebuah PC, malware biasanya akan otomatis meng-copy kan dirinya ke dalam removable media tersebut. Konsep inilah yang di usung oleh Sebastian Poeplau untuk menjaring / menjebak malware tersebut dengan menciptakan fake USB storage device.
Ketika malware sudah meng-copykan dirinya ke dalam fake USB tersebut, Ghost USB Honeypot ini bisa di unmount dan nanti akan terdapat sebuah .img file pada folder C: anda. (biasanya namanya gdxx.img) File image ini yang sudah mengandung malware, bisa kita ambil, dan kita pindahkan ke sandbox malware environment yang lebih aman, untuk kita analisa lebih jauh mengenai malware tersebut.
Baik langsung saja akan saya tulis step by step proses instalasi Ghost USB Honeypot ini. Namun sebelumnya berikut saya informasikan environment OS yang saya gunakan beserta pre-requisite nya :
Environment OS :
Windows XP no SP di dalam sebuah Virual Machine menggunakan VirtualBox
Pre-Requisite :
Patch Windows XP SP 3 (Dapat di install secara offline. Silakan download di http://www.microsoft.com/en-us/download/details.aspx?id=24)
DevCon (Not Defcon :D). DevCon merupakan command line utility yang bekerja seolah2 seperti device manager, hanya saja berbasis command line, dimana DevCon ini dapat melakukan enable, disable, restart, update, remove device driver. SIlakan download DevCOn ini pada http://support.microsoft.com/default.aspx?scid=kb;en-us;Q311272
WDFCoInstaller (Windows Driver Framework CoInstaller) dapat di download di http://msdn.microsoft.com/en-US/windows/hardware/br259104
Windows Installer versi terbaru (saya menggunakan versi 4.5) dapat di download di http://www.microsoft.com/en-us/download/details.aspx?id=8483
Ghost USB Honeypot Binary dapat di download di http://ghost-usb-honeypot.googlecode.com/files/ghost-v0.1-winxp.zip
Step By Step
Install Service Pack Windows SP3
Install WIndows Installer Versi 4.5
Extract file ghost-v0.1-winxp.zip. Nanti akan ada 5 buah file, yaitu ghostbus.inf, GhostBus.sys, ghostdrive.ing, GhostDrive.sys, GhostTool.exe
Install WDFCoInstaller.
Masuk ke folder berikut :
C:\Program Files\Windows Kits\8.0\redist\wdf\x86
Lalu copy kan 2 buah file yang bernama WdfCoInstaller01009.dll dan WUDFUpdate01009.dll. Gabungkan kedua file tersebut menjadi satu folder dengan 5 buah file hasil extract ghost-usb tadi (step 3)
Download DevCon. Lalu extract file DevCon tersebut. dan ambil file DevCon.exe sesuai dengan arsitektur OS yang anda gunakan (saya x86).
Gabungkan file DevCon.exe dengan file-file dari step 5. Jadi sekarang total ada 8 buah file dalam satu folder, yaitu ghostbus.inf, GhostBus.sys, ghostdrive.ing, GhostDrive.sys, GhostTool.exe, WdfCoInstaller01009.dll, WUDFUpdate01009.dll, dan DevCon.exe
Buka Command Prompt anda,dan masuk ke folder dimana terdapat 8 buah file tersebut.
Ekseskusi perintah berikut ini :
C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>devcon.exe i
nstall ghostbus.inf root\ghostbus
Akan muncul seperti ini :
Device node created. Install is complete when drivers are updated... Updating drivers for root\ghostbus from C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb\ghostbus.inf. Drivers updated successfully.
Lalu eksekusi perintah berikut ini :
C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>GhostTool.exe mount 0
Akan muncul seperti ini :
GhostTool version 0.1 Opening bus device… Activating GhostDrive… Finished
Akan muncul Found New Hardware Wizard. Silakan ikuti screenshot di bawah ini :
Setelah itu akan muncul new hardware, seperti seolah-olah ada USB storage device yang tertancap. Ini merupakan fake USB atau Ghost USB Honeypot. Ukuannya 100 Mb. Pertama kali anda harus memformatnya terlebih dahulu dengan menggunakan File System FAT.
Setelah itu silakan anda menunggu jika PC anda infected, lalu Malware akan meng-copy kan diri ke fake USB tersebut, lalu Fake USB tersebut di unmount akan ada peringatan sebagai berikut :
Untukmelakukan unmount silakan gunakan perintah seperti ini :
```
C:\Documents and Settings\Cybertron\My Documents\Downloads\ghostusb>GhostTool.exe umount 0
```
Akan muncul seperti ini :
GhostTool version 0.1
Opening Ghost Drive...
Sending umount command...
Image has been written to!
Opening bus device...
Deactivating GhostDrive
Finished
File image akan di tulis pada folder C:\ anda. Biasanya bernama seperti ini gdxx.img. Silakan copykan image tersebut dan silakan anda analisa pada Malware sandbox anda.
Selamat Mencoba
Happy Hacking :D