El desarrollo del Honeypot Ghost USB de Sebastian Pöplau, originalmente desarrollado en la Universidad de Bonn, formará parte ahora del Proyecto Honeynet. El software emula una unidad flash USB insertada en un puerto USB de un sistema Windows y funciona como un cebo para el malware.
Si un sistema es infectado por gusanos como Conficker, Stuxnet o Flame, el gusano se copia a sí mismo dentro de la falsa unidad flash, cayendo en un archivo de imagen utilizado por el Ghost para simular un dispositivo USB por medio del cual puede ser analizado.
La idea es poder correr en segundo plano el software Honeypot en sistemas de producción a intervalos regulares, quizá cuando el usuario está inactivo y el salvapantallas se activa. Si algo se copia a la unidad flash dentro de un periodo de tiempo de aproximadamente 30 segundos, se puede asumir que se ha capturado algún tipo de malware.
Ghost USB actualmente corre solo en Windows XP, aunque el proyecto pretende agregar soporte para Windows 7. La página del proyecto contiene drivers pre-compilados para poder experimentar con ellos. Se requiere de un Windows Driver Kit para poder compilar el código fuente, el cual es software libre bajo licencia de GPLv3.
Fuentes: The H Security
0 comentarios:
Publicar un comentario