Phenquestions
Ved mange lejligheder undgår malware detektering ved at scanne motorer og undgår uskadt ved at gennemgå en ændring i dets struktur og adfærd. Denne ene attribut (når den findes i store mængder) kan dog bruges til at bestemme forholdet mellem forskellige typer malware og opdage nye stammer. En nylig undersøgelse offentliggjort af sikkerhedsforsker Silvio Cesare understreger, at malware-stammer kan identificeres ved deres arv. Forskeren udviklede en model kaldet Simseer i stand til at identificere en plagieret software og etablere forholdet mellem malware.
Hjemmesiden sporer og kategoriserer arv fra forskellige stammer af malware. På tidspunktet for undersøgelsen indså Cesare, at selv moderate ændringer i malware ikke ændrer strukturer. Han brugte denne faktor som en model til at opdage omtrentlige matchninger af malware og valgte en hel familie af malware baseret på den ene struktur. Analysen udført af værktøjet hjalp den Melbourne-baserede sikkerhedsforsker med at bestemme forholdet mellem malware ved at vurdere deres lighed med eksisterende baseret på ondsindet kode og finde ud af, om et malware-udbrud havde links til tidligere udbrud. Han kunne forudsige alt dette ved at skitsere analyseresultaterne og visualisere programforholdene som et evolutionært træ.
Hvordan fungerer Simseer
Du skal indsende et zip-arkiv, der indeholder malware til Simseer. Den maksimale filstørrelse pr. Er 100.000 bytes. Eksempel filnavnet skal være: alfanumerisk eller perioder og kun PE-32 og ELF-32 eksekverbare filer. Maksimalt 20 indsendelser er tilladt på en dag.
Simseer-servere grupperer prøverne i klynger og scanner derefter en ukendt prøve for ligheder med kendte malware-familier og for at identificere nye. Derefter viser det et evolutionært træ til venstre, der viser forholdet mellem eksisterende og ny kode. Jo tættere programmerne er i træet, jo tættere er de forbundet og sandsynligvis tilhører den samme familie. Nye stammer, hvis de findes, katalogiseres separat, når de er mindre end 98% svarende til en eksisterende stamme.
En score på 1.0 betyder, at programmerne er identiske. En score på 0.0 betyder, at programmerne slet ikke er ens. Programmer, der har en lighed større eller lig med 0.60 er varianter af hinanden og fremhævet grønt i resultaterne. Jo lysere det grønne er, jo mere ens er programmerne.
For at vedligeholde Simseers database downloader Cesare rå malware-kode fra det åbne malware-delingsnetværk VirusShare og andre kilder med mellem 600 MB og 16 GB data, der føres ind i hans algoritmer hver aften.
Via AusCERT 2013.
