Hjemmeside » Sikkerhet » Simseer identifiserer nye malware stammer etter deres arv

    Simseer identifiserer nye malware stammer etter deres arv

    Ved mange anledninger unngår malware deteksjon ved å skanne motorer, og unnslippe uforskyldt ved å gjennomgå en endring i struktur og oppførsel. Imidlertid kan denne eneattributtet (når det finnes i store mengder) brukes til determinerelationship mellom ulike typer malware og oppdage nye stammer. En nylig studie publisert av sikkerhetsforsker Silvio Cesare understreker at malwarestammer kan identifiseres av deres arv. Forskeren utviklet en modell som ble kalt Simseer i stand til å identifisere en plagiert programvare og etablere forhold mellom malware.

    Nettstedet sporer og kategoriserer arv av ulike stammer av malware. På tidspunktet for undersøkelsen innså Cesare at selv moderate endringer i malware ikke endrer strukturen. Han brukte denne faktoren som en modell for å oppdage omtrentlige samsvarer med skadelig programvare og velge en hel familie malware basert på den ene strukturen. Analysen gjort av verktøyet hjalp den Melbourne-baserte sikkerhetsforskeren å bestemme forholdet mellom skadelig programvare ved å vurdere likheten deres med eksisterende basert på ondsinnet kode og finne ut om et utbrudd av skadelig programvare hadde koblinger til tidligere utbrudd. Han kunne forutsi alt dette ved å tabulere analyseresultater og visualisere programrelasjoner som et evolusjonært tre.

    Hvordan virker Simseer?

    Du må sende inn et zip-arkiv som inneholder skadelig programvare til Simseer. Maksimal filstørrelse per er 100 000 byte. Eksempelfilen må være: alfanumeriske eller perioder og bare PE-32 og ELF-32 kjørbare. Maksimalt 20 innleveringer er tillatt i løpet av en dag.

    Simseer-servere grupperer prøvene i klynger, skann deretter en ukjent prøve for likheter med kjente malwarefamilier og å identifisere nye. Den viser deretter et evolusjonært tre til venstre, som viser forholdet mellom eksisterende og ny kode. Jo nærmere programmene er i treet, jo nærmere er de relatert og sannsynligvis tilhører samme familie. Nye stammer, hvis de finnes, er katalogisert separat når de er mindre enn 98% lik en eksisterende belastning.

    En poengsum på 1,0 betyr at programmene er identiske. En poengsum på 0,0 betyr at programmene ikke er like likt. Programmer som har en likhet som er større eller lik 0.60, er varianter av hverandre og uthevet grønn i resultatene. Jo lysere den grønne, desto mer ligner programmene.

    For å opprettholde Simseers database, laster Cesare ned rå malwarekode fra åpent malware-delingsnettverk VirusShare og andre kilder, med mellom 600MB og 16GB data som blir matet inn i sine algoritmer hver natt.

    Via AusCERT 2013.