Phenquestions
Vid många tillfällen undviker skadlig programvara detektering genom att skanna motorer och fly undan oskadd genom att genomgå en förändring i dess struktur och beteende. Det här attributet (när det finns i stora volymer) kan dock användas för att bestämma förhållandet mellan olika typer av skadlig kod och upptäcka nya stammar. En nyligen genomförd studie publicerad av säkerhetsforskaren Silvio Cesare betonar att skadlig programvara kan identifieras av deras arv. Forskaren utvecklade en modell som heter Simseer kan identifiera en plagierad programvara och etablera sambandet mellan skadlig kod.
Webbplatsen spårar och kategoriserar arv från olika stammar av skadlig kod. Vid tidpunkten för forskningen insåg Cesare att även måttliga förändringar av skadlig kod inte förändrar strukturerna. Han använde denna faktor som en modell för att upptäcka ungefärliga matchningar av skadlig kod och valde en hel familj av skadlig kod baserat på den ena strukturen. Analysen som gjordes av verktyget hjälpte den Melbourne-baserade säkerhetsforskaren att fastställa förhållandet mellan skadlig kod genom att bedöma deras likhet med befintlig baserat på skadlig kod och hitta om ett skadligt programutbrott hade länkar till tidigare utbrott. Han kunde förutsäga allt detta genom att analysera analysresultaten och visualisera programförhållandena som ett evolutionärt träd.
Hur fungerar Simseer?
Du måste skicka ett zip-arkiv som innehåller skadlig kod till Simseer. Den maximala filstorleken per är 100 000 byte. Exempel på filnamn måste vara: alfanumeriskt eller perioder och PE-32 och ELF-32 körbara. Högst 20 bidrag är tillåtna på en dag.
Simseers servrar grupperar proverna i kluster och skannar sedan ett okänt prov för likheter med kända skadliga familjer och för att identifiera nya. Den visar sedan ett evolutionärt träd till vänster som visar förhållandet mellan befintlig och ny kod. Ju närmare programmen är i trädet, desto närmare är de relaterade och sannolikt tillhör samma familj. Nya stammar, om de hittas, katalogiseras separat när de är mindre än 98% liknar en befintlig stam.
Poängen 1.0 betyder att programmen är identiska. Poängen 0.0 betyder att programmen inte alls liknar varandra. Program som har en likhet större eller lika med 0.60 är varianter av varandra och markerade grönt i resultaten. Ju ljusare grönt, desto mer lik är programmen.
För att underhålla Simseers databas laddar Cesare ned rå malware-kod från det öppna malware-delningsnätverket VirusShare och andra källor, med mellan 600 MB och 16 GB data matas in i hans algoritmer varje natt.
Via AusCERT 2013.
