世界蜜网项目组织启动了一项新的研究,该研究来自一名德国学生。这名德国学生所进行的研究是“诱捕通过USB存储设备来传播的恶意软件”。
通过USB存储设备感染的恶意软件,诸如Stuxnet和它的“近亲”Flame,虽然给网络安全带来了极大的挑战,但是,它们却并非通过网络来感染的。
这名德国学生名叫 Sebastian Peoplau,来自伯恩大学,现在已经被吸纳为世界蜜网项目组织Ghost-usb-honeypot项目的一员。网络蜜罐通过仿真网络终端来接受感染,同样,Ghost-usb-honeypot这项新的项目通过仿真USB闪存设备以求感染——通过USB设备而不是通过网络。
目前的问题是,挨个的手动去测试每一台电脑,来诱捕这么一个恶意软件看起来是不现实的,更不要说在一个大型网络里测试使用了。
“众所周知,即便你对恶意软件没有太深入的了解,也会知道,如果我们把一个USB闪存插入一台受感染的电脑,不需要多长时间,恶意软件就会把自己复制到闪存里面,从而感染该闪存。”Sebastian Peoplau在四月份的时候就通过YouTube发表过这样的看法,那时候世界蜜网项目组织还没有采纳他的想法。
Peoplau的提议是,简单的把USB设备仿真成一个镜像文件,这样,受测电脑任何的攻击行为,在写入这个仿真镜像文件时都会被捕获。这个软件加载一个虚拟驱动,并使windows通知系统(受感染的测试电脑)“有一个可插拔设备已经插入”。
被捕获到的恶意软件复制体,在仿真设备“拔出”的时候,可以被复制并提供日后的分析和研究。Ghost-usb-honeypot官方声称,这个项目软件还处于早期的开发阶段。
