Tutorial Honeypot MCEDP Honeyclient

Yoooo, kali ini saya ingin berbagi pengalaman menggunakan Honeypot, salah satunya yang terbaru adalah MCEDP Honeyclient. Honeypot yang satu ini termasuk dalam kategori High Interaction Client Honeypot atau bahasa kerennya Honeypot yang bersentuhan langsung dengan Malware dan dipasang pada level aplikasi (i have no idea what i am doing :hammer).

Singkat kata singkat cerita karena ini berurusan dengan Malware maka sebaiknya kita menggunakan virtualisasi, dalam hal ini saya gunakan Virtualbox (Vbox). Vbox1 diinstall OS Windows 7 (bukan asli) dan Vbox2 diisi Backtrack 5 R3. Konfigurasi network yang saya gunakan Internal agar tidak menyebar keluar lingkungan Virtualisasi, tentu saja untuk download bahan2nya gunakan NAT atau Brigde agar terkoneksi dengan internet.

Oh iya, tutorial video penggunaan MCEDP Honeyclient ada disini. Pada dasarnya yang saya lakukan hampir sama seperti disitu.

Sayang sekali sampel malware dari mbak Mila dari Contagiodump yang CVE 2012-1889 Microsoft XML vulnerability tidak berhasil menyisipkan shellcode pada Vbox1 maka dari itu saya beralih menggunakan Metasploit module exploit/windows/browsers/msxml_get_definition_code_exec yang ada di Backtrack 5, Metasploit yang digunakan versi 4.5.0-dev.

Install dulu MCEDP Honeyclient di Vbox1 dan jangan lupa karena di dalam contoh kali ini melakukan eksploitasi terhadap Microsoft XML, maka install terlebih dahulu Microsoft Core XML Services (MSXML) 6.0 dan Java agar metasploit dapat berjalan.

Jalankan MCEDP dan Add Program Internet Explorer dan lakukan konfigurasi seperti pada gambar dibawah:

MCEDP

Tutorial Honeypot MCEDP Honeyclient

MCEDP

Tutorial Honeypot MCEDP Honeyclient

MCEDP

Tutorial Honeypot MCEDP Honeyclient

Jika telah selesai setting diatas maka selanjutnya kita perlu melihat file log Honeypot, lokasinya ada di folder /usersname/AppData/LocalLow/MCEDP/ dan bisa dilihat pada gambar dibawah:

MCEDP

Dapat dilihat pada gambar diatas bahwa shellcode detector telah berjalan dan dan menempel pada semua PE Windows (file .dll) yang aktif termasuk internet explorer yang telah kita setting sebelumnya.

Selanjutnya kita siapkan Metasploit di Vbox2 seperti berikut:

MCEDP
Pada gambar diatas exploit berjalan pada alamat  http://192.168.10.5:8080/tes

Buka Internet Explorer pada Vbox1 dan buka alamat tersebut:

MCEDP

Pada saat IE 8 (lupa kasih tahu versinya :D) error, session meterpreter berjalan di MSF Listener yang sudah dibuat sebelumnya:

MCEDP

Daaan… makhluk bernama shellcode yang berhasil berjalan di MSXML IE 8 berhasil diduplikasi oleh MCEDP Honeyclient dan menghasilkan beberapa file diantaranya seperti pada gambar dibawah:

MCEDP

MCEDP

Mari kita lihat satu-persatu isinya:

  1. ShellcodeAnalysis.xml
    Ternyata shellcode dari metasploit berjalan pada modul MSVCR71.dll (Java JRE6) dan berasal dari IP 192.168.10.5 port 4444
    MCEDP
  2. Salah satu file dengan nama sama dengan UID yang ada di dalam file ShellcodeAnalysis.xml
    Perhatikan dengan seksama gambar dibawah, ada IP 192.168.10.50, seperti inilah sebagian dari yang dilakukan oleh modul metasploit yang dijalankan.
    MCEDP
    *Gambar diatas berbeda UID nya dengan gambar nomor 1.
  3. File ShellcodeDisass dimana bisa dilihat bagaimana instruksi bahasa low level (assembly) shellcode tersebut berjalan.
    MCEDP
  4. File RopAnalysis dimana bisa dilihat bagaimana shellcode tersebut melakukan exploitasinya. Yang sedikit saya ketahui tentang ROP (Return-Oriented Programming) adalah merupakan sebuah metode dalam melakukan eksploitasi tanpa melakukan injeksi kode dan sangat berkaitan dengan GADGETS (sebuah kode sequence untuk menggenerate load-store, arithmetic logic, control flow dan syscall) dan merupakan salah satu teknik untuk bypass DEP* OS dengan mencari salah satu file .dll yang tidak memiliki ASLR*.
    MCEDP
    *OS memiliki sistem proteksi terhadap buffer overflow yaitu DEP (Data Execution Prevention) sebagai kontrol agar aplikasi/service tidak menjalankan kode diluar stack executable memory-nya dan ASLR (Address space layout randomization) yang mengacak posisi executable, libraries, heap dan stack dalam sebuah satu ruang proses aplikasi yang sedang berjalan.

Begitulah kiranya cara kerja sebuah Honeypot client yang dibuat oleh Shahriyar Jalayeri asal Iran ini, walaupun masih beta tapi hasilnya cukup bagus. Lain kali akan saya bahas Honeypot secara khusus sekarang sudah ngantuk 🙂

Wabillahi Taufiq Walhidayah Wassalamualaikum….

Semoga bermanfaat
iKONs

Updated:
Koreksi mengenai pengertian ROP dari Makassar Ethical Hacker. 

Sumber:
http://www.irhoneynet.org/?page_id=116
http://www.offensive-security.com/vulndev/return-oriented-exploitation-rop/
http://en.wikipedia.org/wiki/Data_Execution_Prevention
http://en.wikipedia.org/wiki/Address_space_layout_randomization