Simseer identifică noi tulpini de malware prin patrimoniul lor
În multe cazuri, malware-ul evită detectarea prin scanarea motoarelor și evadarea neatinsă prin schimbarea structurii și a comportamentului. Totuși, acest atribut (dacă este prezent în volume mari) poate fi folosit pentru a determina relația dintre diferite tipuri de malware și a detecta noi tulpini. Un studiu recent publicat de cercetătorul de securitate Silvio Cesare subliniază că tulpinile malware pot fi identificate de către ei moștenire. Cercetătorul a dezvoltat un model numit Simseer capabil să identifice un software plagiat și să stabilească relația dintre malware.
Site-ul web urmărește și clasifică patrimoniul diferitelor tipuri de malware. În momentul cercetării, Cesare și-a dat seama că modificările moderate ale malware-ului nu modifică structurile. El a folosit acest factor ca un model pentru detectarea potrivirilor aproximative a programelor malware și a selectat o întreagă familie de malware pe baza acelei structuri. Analiza făcută de instrument a ajutat cercetătorul de securitate din Melbourne să determine relația dintre malware, evaluând asemănarea cu existența pe baza codului malware și să găsească dacă un focar de malware avea legături cu focarele anterioare. El putea prezice toate acestea prin tabelarea rezultatelor analizei și vizualizarea relațiilor de program ca un arbore evolutiv.
Cum funcționează Simseer
Trebuie să trimiteți o arhivă Zip care conține malware-ul către Simseer. Dimensiunea maximă a fișierului este de 100.000 octeți. Eșantionul fișierului trebuie să fie: alfanumeric sau perioade și numai executabile PE-32 și ELF-32. Sunt permise maxim 20 de înscrieri într-o zi.
Serverele Simseer grupează eșantioanele în grupuri, apoi scanează un eșantion necunoscut pentru asemănări cu familiile cunoscute de malware și identifică altele noi. Apoi afișează un arbore evolutiv din stânga, arătând relațiile dintre codul existent și cel nou. Cu cât programele sunt mai apropiate de copac, cu atât sunt mai apropiate și probabil că aparțin aceleiași familii. Tulpinile noi, dacă sunt găsite, sunt catalogate separat atunci când sunt mai mici de 98% similare cu o tulpină existentă.
Un scor de 1,0 înseamnă că programele sunt identice. Un punctaj de 0.0 înseamnă că programele nu sunt deloc similare. Programele care au o asemănare mai mare sau egală cu 0,60 sunt variante ale fiecăruia și subliniate verde în rezultate. Cu cât este mai verde, cu atât sunt mai asemănătoare programele.
Pentru a menține baza de date a lui Simseer, Cesare descarcă codul malware brut din rețeaua virtuală de partajare a malware-ului VirusShare și din alte surse, între 600MB și 16GB de date introduse în algoritmii lui în fiecare noapte.
Prin AusCERT 2013.