Simseer identifierar nya malware stammar av deras arv
Vid många tillfällen undviker malware detektering genom att skanna motorer och flyger oskadd genom att genomgå en förändring av dess struktur och beteende. Dock kan detta attribut (när det finns i stora volymer) användas för att bestämma förhållandet mellan olika typer av skadlig kod och upptäcka nya stammar. En nyligen genomförd studie publicerad av säkerhetsforskare Silvio Cesare betonar att malwarestammar kan identifieras av deras arv. Forskaren utvecklade en modell som heter Simseer kunna identifiera en plagierad programvara och upprätta samband mellan skadlig kod.
Webbplatsen spårar och kategoriserar arv av olika stammar av malware. Vid tidpunkten för undersökningen insåg Cesare att även måttliga förändringar av malware inte förändrar strukturerna. Han använde denna faktor som en modell för att upptäcka ungefärliga matchningar av skadlig kod och välja en hel familj malware baserat på den ena strukturen. Analysen som gjordes av verktyget hjälpte den Melbourne-baserade säkerhetsforskaren att bestämma förhållandet mellan skadlig kod genom att bedöma deras likhet med befintliga baserat på skadlig kod och hitta om ett utbrott av malware hade länkar till tidigare utbrott. Han kunde förutsäga allt detta genom att tabulera analysresultaten och visualisera programförhållandena som ett evolutionärt träd.
Hur fungerar Simseer
Du måste skicka in ett zip-arkiv som innehåller skadlig kod till Simseer. Den maximala filstorleken per är 100 000 byte. Provets filnamn måste vara: alfanumeriska eller perioder och endast exekveringsbara PE-32 och ELF-32. Högst 20 inlagor är tillåtna på en dag.
Simseer-servrar grupperar proverna i kluster, skannar sedan ett okänt prov för likheter med kända malwarefamiljer och identifierar nya. Den visar då ett evolutionärt träd till vänster, vilket visar relationerna mellan befintlig och ny kod. Ju närmare programmen ligger i trädet, desto närmare är de relaterade och kommer sannolikt att tillhöra samma familj. Nya stammar, om de hittas, är katalogiserade separat när de är mindre än 98% som liknar en befintlig stam.
En poäng på 1,0 betyder att programmen är identiska. En poäng på 0,0 betyder att programmen inte alls liknar varandra. Program som har en likhet som är lika med 0,60 är varianter av varandra och markeras grönt i resultaten. Ju ljusare den gröna, ju mer liknande programmen är.
För att behålla Simseers databas hämtar Cesare rå malware kod från det öppna nätverket VirusShare och andra källor, med mellan 600 MB och 16 GB data som matas in i sina algoritmer varje natt.
Via AusCERT 2013.