Phenquestions
In molte occasioni, il malware elude il rilevamento da parte dei motori di scansione e ne esce indenne modificando la sua struttura e il suo comportamento. Tuttavia, questo attributo (se presente in grandi volumi) può essere utilizzato per determinare la relazione tra diversi tipi di malware e rilevare nuovi ceppi. Un recente studio pubblicato dal ricercatore di sicurezza Silvio Cesare sottolinea che i ceppi di malware possono essere identificati dal loro eredità. Il ricercatore ha sviluppato un modello chiamato Simseeer in grado di identificare un software plagiato e stabilire una relazione tra malware.
Il sito Web tiene traccia e classifica il patrimonio di diversi ceppi di malware. Al momento della ricerca Cesare si rese conto che anche modifiche moderate al malware non cambiano le strutture. Ha usato questo fattore come modello per rilevare corrispondenze approssimative di malware e selezionare un'intera famiglia di malware basata su quell'unica struttura. L'analisi effettuata dallo strumento ha aiutato il ricercatore di sicurezza con sede a Melbourne a determinare la relazione tra il malware valutando la loro somiglianza con il codice dannoso esistente e trovando se un'epidemia di malware aveva collegamenti a precedenti epidemie. Poteva prevedere tutto questo tabulando i risultati dell'analisi e visualizzando le relazioni del programma come un albero evolutivo.
Come funziona Simseer
Devi inviare un archivio Zip contenente il malware a Simseer. La dimensione massima del file per è 100.000 byte. Il nome del file di esempio deve essere: alfanumerico o punti e solo eseguibili PE-32 e ELF-32. Sono consentiti un massimo di 20 invii in un giorno.
I server Simseer raggruppano i campioni in cluster, quindi scansionano un campione sconosciuto per somiglianze con famiglie di malware note e per identificarne di nuovi. Quindi mostra un albero evolutivo sulla sinistra, che mostra le relazioni tra codice esistente e nuovo. Più i programmi sono vicini nell'albero, più sono correlati ed è probabile che appartengano alla stessa famiglia. Nuovi ceppi, se trovati, sono catalogati separatamente quando sono meno del 98% simili a un ceppo esistente.
Un punteggio di 1.0 significa che i programmi sono identici. Un punteggio di 0.0 significa che i programmi non sono affatto simili. Programmi che hanno una somiglianza maggiore o uguale a 0.60 sono varianti l'una dell'altra ed evidenziate in verde nei risultati. Più luminoso è il verde, più simili sono i programmi.
Per mantenere il database di Simseer, Cesare scarica il codice malware grezzo dalla rete aperta di condivisione di malware VirusShare e altre fonti, con tra 600 MB e 16 GB di dati inseriti nei suoi algoritmi ogni notte.
Tramite AusCERT 2013.
