Digit Oktavianto Web Log

Catatan Sampah si Digit

Install Ghost USB Honeypot Version 0.2

| Comments

Hai all,

Setelah dipostingan sebelumnya saya menulis mengenai Instalasi dan PoC Ghost USB Honeypot (http://digitoktavianto.web.id/instalasi-dan-poc-ghost-usb-honeypot.html), kali ini saya akan mengulas kembali mengenai Ghost USB Honeypot. Ghost USB Honeypot baru-baru ini mendapatkan award funding dari Rapid7 dalam award tahunan yang diselenggarakan oleh Rapid7, yaitu Magnificent7. Award ini memberikan bantuan dana kepada project-project open source di bidang security yang dinilai memberikan kontribusi positif dan dinilai memiliki masa depan yang cerah.

Versi terbaru Ghost USB Honeypot adalah versi 0.2. Pada postingan sebelumnya saya masih menggunakan versi Ghost USB Honypot 0.1. Pada Ghost USB Honeypot 0.2 ini sudah lebih banyak perkembangannya di banding dengan versi 0.1 terdahulu. Pada versi ini anda tidak perlu melakukan build terlebih dahulu, karena anda cukup menginstall menggunakan installer yang diberikan. Selain itu pada versi 0.2 ini sudah terdapat GUI pada aplikasi Ghost USB Honeypot ini.

Baiklah tanpa basa-basi lagi mari segera kita Setup Ghost USB Honeypot 0.2 ini. Berikut ini langkah-langkahnya :

Step Umum yang akan kita lakukan ada 3 Step :

  1. Install dependency Ghost USB Honeypot (ada 2 dependensi)
  2. Menjalankan Installer Ghost USB Honeypot
  3. Menyiapkan image file untuk menampung malware tangkapan kita :D

Environment OS Testing :

Windows XP no SP di dalam sebuah Virual Machine menggunakan VirtualBox

Pre-Requisite :

Download file-file yang di butuhkan dari sini https://code.google.com/p/ghost-usb-honeypot/downloads/list

Download file Binary Installer Ghost USB :

Untuk Win XP : https://ghost-usb-honeypot.googlecode.com/files/ghost-v0.2-winxp.zip

Untuk Win 7 : https://ghost-usb-honeypot.googlecode.com/files/ghost-v0.2-win7.zip

Preformatted Image File : https://ghost-usb-honeypot.googlecode.com/files/ghost-clean-image.zip

Berikut detail step-step instalasinya :

  1. Install dependency Ghost USB Honeypot

    Siapkan file-file dependensi yang di butuhkan. Dependensi yang dibutuhkan adalah sebagai berikut :

    a. Windows Driver Framework (WDF). Ghost USB membutuhkan WDF versi terbaru. Jika anda menggunakan Windows 7, maka gunakan WDF versi 1.9 (biasanya pre installed bawaan dengan Windows 7). Jika anda menggunakan Wndows XP, silakan download terlebih dahulu disini http://msdn.microsoft.com/en-US/windows/hardware/br259104

    Setelah anda menginstall WDF, maka akan terbentuk folder baru hasil instalasi WDF disini (default folder instalasi) :

     C:\Program files\Windows Kits\8.0\redist\wdf\x86. 
    

    Dimana pada folder tersebut akan terdapat 2 buah files yang akan kita gunakan, yaitu WdfCoInstaller01009.dll dan WUDFUpdate01009.dll

    Copy ke 2 file tersebut dan letakkan dalam 1 folder bersama dengan file-file hasil extractan dari ghost USB tadi (ke 2 file tersebut harus berada dalam folder yang sama dengan ghostbus.inf)

    b. Jika anda ingin menggunakan GUI Installer, anda membutuhkan .NET framework version 4 atau lebih tinggi. Anda dapat mendownload .NET Framework dari sini : http://www.microsoft.com/en-us/download/details.aspx?id=17718

  2. Install Ghost USB Honeypot

    Buka cmd (command prompt) anda menggunakan Privilige Administrator (pada Windows 7, right-click dan pilih “run as administrator”)

    Lalu cd ke dalam folder tempat anda mengextract file-fileGhost USB tadi

    Jalankan Setup.exe

    Note : Windows akan menanyakan anda apakah anda akan menginstall file-file tersebut, silakan anda klik Yes. Hal ini dikarenakan Microsoft tidak mengecek driver-driver tersebut.

  3. Mempersiapkan Image Files

    Device yang di emulasi oleh Ghost USB saat melakukan trap malware akan disimpan dalam sebuah image file. File image tersebut merupakan file seperti yang dibuat menggunakan command dd dalam Linux. Di dalam file image itulah dimana malware akan di tampung. Secara default file image akan di beri nama sesuai dengan nomor urutan virtual drive dari 0-8, dimana file image tersebut akan terletak pada direktori C:\ dengan nama gd[0-8].img. Misal dengan nama C:\gd0.img. Jika anda menggunakan GUI, maka yang dipergunakan adalah virtual drive 9, dimana file image ini akan bernama pada C:\gdgui.img secara default.

    Secara mudahnya, anda hanya perlu mendownload clean image tadi pada https://ghost-usb-honeypot.googlecode.com/files/ghost-clean-image.zip lalu me-rename dengan nama gdgui.img dan ditaruh pada C:\gdgui.img

    Pertama kali anda harus memformat file image tersebut sebelumdapat dipergunakan. DalamWIndows XP,anda bisa menggunakan Format File seperti layaknya mem-format Flash Disk, namun pada Windows 7 hal ini belum dapat digunakan, oleh karena itu anda harus menggunakan preformatted image files yang di download pada https://ghost-usb-honeypot.googlecode.com/files/ghost-clean-image.zip

Penggunaan Ghost USB Honeypot

a. Melalui GUI

GUI Ghost USB Honeypot ini menggunakan 2 mode, yaitu mode manual dan mode automatic. Pada manual mode, anda dapat menggunakan tombol mount dan unmount pada virtual drive. Pada automatic mode, komputer akan otomatis menjalankan Ghost USB pada mode background secara periodic. Log akan terdapat pada log window di sebelah kanan GhostGUI. Fitur ini berguna jika suatu hari Ghost USB berhasil menangkap atau mengindikasikan adanya malware yang infected ke dalam fake Ghost USB tersebut.

Gambar di atas adalah gambar Tampilan awal GhostGUI. Di bagian kiri adalah menu dari GhostGUI. Bagian kanan adalah Log Window,dimana aktivitas Log akan terekam disana






Gambar di atas adalah gamabr saat GhostGUI di Mount. Terlihat dikanan bawah ada Pop Up Baloon yang membri informasi bahwa Ghost USB sudah ter mount.






Setelah itu akan muncul Wizard yang mengindikasikan ada hardware yang barudan meminta untuk menginstal drivernya. Anda tidak perlu konek ke Windows Update. Cukup pilih No, not this time. Lalu Klik Next






Lalu setelah itu akan ada proses instalasi driver Ghost USB.






Selesai menginstall driver






Setelah itu driver sudah siap,dan sudah di mount. Lalu sikalan menuju My Computer, dan disana anda akan melihat 1 USB removable media baru.






Disana anda dapat melihat ada 1 USB removable media. Drive E:. Itulah USB Ghost Honeypot kita






Namun jika kita klik 2 kali drive E:\ Tersebut akan muncul Pop Up Seperti di atas. Yap betul, sebelum dapat digunakan harus kita format terlebih dahulu.






Proses Formatting






Setelah selesai di format maka sudah dapat di gunakan. Jika anda melihat kursor mouse saya, button itu yang akan menunjukkan dimana kita akan menyimpan File Image kita. Secara default ada pada C:\






Terlihat di folder C:\ sana ada file image saya. Secara default jika kita menggunakan GUI, yang digunakan adalah Virtual Drive 9, dimana image file kita akan bernama gdgui.img dan / atau gd9.img






Gambar di atas jika kita menggunakan mode Automatic, dimana Ghost USB akan otomatis mount dan unmount setiap rentang beberapa waktu secara periodic






Gambar di atas menunjukkan adanya indikasi malware yang masuk terperangkap ke dalam Ghost USB, hal ini dapat di lihat dari Log Window di sebelah kanan.

b. Melalui command prompt

Penggunaan via command prompt tidakjauh berbeda dengan postingan terdahulu saya saat menggunakan Ghost USB versi 0.1.

Untuk melakukan mount anda dapat menggunakan perintah

GhostTool.exe mount n

dimana n adalah virtual drive anda






Untuk melakukan unmount anda dapat menggunakan perintah

GhostTool.exe umount n

Gambar di atas adalah file image dengan nama gd1.img (karenakita menggunakan virtual drive 1).

Ketika device virtual drive dari fake Ghost USB ini pertama kali di mount, anda harus terlebih dahulu memformatnya sebelum bisa digunakan.

Demikian tutorial yang dapat saya berikan. Selamat Mencoba


Happy Hacking :D

Comments