Würmer fangen mit Geister-Sticks
Ghost USB Honeypot simuliert einen USB-Stick, um Würmer aufzuspüren, die sich auf diesem Weg verbreiten.
Ursprünglich an der Uni Bonn hat Sebastian Poeplau den Ghost USB Honeypot entwickelt, den er jetzt im Rahmen des Honeynet-Projekts weiterentwickelt. Er simuliert in Software einen USB-Stick, der an ein Windows-System angesteckt wird und somit als Köder fungiert. Auf Systemen, die mit Würmern wie Conficker, Stuxnet oder Flame infiziert sind, kopiert sich der Schädling auf den vermeintlichen Stick. Dabei landet er in dem Imagefile, das Ghost als USB-Stick ausgegeben hat und kann dort direkt analysiert werden.
Die Idee ist, die Honeypot-Software auf Produktionssystemen im Hintergrund regelmäßig auszuführen – etwa während der Anwender nicht aktiv ist und der Screensaver läuft. Wenn sich dann innerhalb eines bestimmten Zeitraums von etwa 30 Sekunden etwas auf den virtuellen Stick kopiert, kann man davon ausgehen, dass man einen Schädling eingefangen hat. Derzeit läuft Ghost USB nur auf Windows XP. Auf der Projekt-Seite gibt es bereits fertig übersetzte Treiber, mit denen man erste eigene Experimente anstellen kann. Um den als Open Source bereitgestellten Quellcode zu übersetzen, benötigt man ein Windows Driver Kit. (ju)
