網(wǎng)絡(luò)蜜罐已落后 德國(guó)開始USB蜜罐研究

　　通過USB存儲(chǔ)設(shè)備感染的惡意軟件，諸如Stuxnet和它的“近親”Flame，雖然給網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)，但是，它們卻并非通過網(wǎng)絡(luò)來感染的。

　　這名德國(guó)學(xué)生名叫 Sebastian Peoplau，來自伯恩大學(xué)，現(xiàn)在已經(jīng)被吸納為世界蜜網(wǎng)項(xiàng)目組織Ghost-usb-honeypot項(xiàng)目的一員。網(wǎng)絡(luò)蜜罐通過仿真網(wǎng)絡(luò)終端來接受感染，同樣，Ghost-usb-honeypot這項(xiàng)新的項(xiàng)目通過仿真USB閃存設(shè)備以求感染——通過USB設(shè)備而不是通過網(wǎng)絡(luò)。

　　目前的問題是，挨個(gè)的手動(dòng)去測(cè)試每一臺(tái)電腦，來誘捕這么一個(gè)惡意軟件看起來是不現(xiàn)實(shí)的，更不要說在一個(gè)大型網(wǎng)絡(luò)里測(cè)試使用了。

　　“眾所周知，即便你對(duì)惡意軟件沒有太深入的了解，也會(huì)知道，如果我們把一個(gè)USB閃存插入一臺(tái)受感染的電腦，不需要多長(zhǎng)時(shí)間，惡意軟件就會(huì)把自己復(fù)制到閃存里面，從而感染該閃存。”Sebastian Peoplau在四月份的時(shí)候就通過YouTube發(fā)表過這樣的看法，那時(shí)候世界蜜網(wǎng)項(xiàng)目組織還沒有采納他的想法。

　　Peoplau的提議是，簡(jiǎn)單的把USB設(shè)備仿真成一個(gè)鏡像文件，這樣，受測(cè)電腦任何的攻擊行為，在寫入這個(gè)仿真鏡像文件時(shí)都會(huì)被捕獲。這個(gè)軟件加載一個(gè)虛擬驅(qū)動(dòng)，并使windows通知系統(tǒng)(受感染的測(cè)試電腦)“有一個(gè)可插拔設(shè)備已經(jīng)插入”。

　　被捕獲到的惡意軟件復(fù)制體，在仿真設(shè)備“拔出”的時(shí)候，可以被復(fù)制并提供日后的分析和研究。Ghost-usb-honeypot官方聲稱，這個(gè)項(xiàng)目軟件還處于早期的開發(fā)階段。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]