Simseer идентифицирует новые штаммы вредоносных программ по их наследию

Anti-Malware

Во многих случаях вредоносное ПО уклоняется от обнаружения механизмами сканирования и остается невредимым, претерпев изменения в своей структуре и поведении. Однако этот один атрибут (если он присутствует в больших объемах) можно использовать для определения взаимосвязи между различными типами вредоносных программ и обнаружения новых штаммов. Недавнее исследование, опубликованное исследователем безопасности Сильвио Чезаре, подчеркивает, что штаммы вредоносных программ могут быть идентифицированы по наследию . Исследователь разработал модель под названием Simseer , способную идентифицировать плагиат программного обеспечения и установить связь между вредоносными программами.

Сайт отслеживает и классифицирует наследие различных видов вредоносного ПО. Во время исследования Чезаре понял, что даже умеренные изменения в вредоносных программах не изменяют структуры. Он использовал этот фактор в качестве модели для обнаружения приблизительных совпадений вредоносных программ и выбрал целое семейство вредоносных программ на основе этой единой структуры. Анализ, проведенный этим инструментом, помог исследователю безопасности в Мельбурне определить взаимосвязь между вредоносными программами, оценив их сходство с существующими, основываясь на вредоносном коде, и выяснить, имела ли вспышка вредоносного ПО ссылки на предыдущие вспышки. Он мог предсказать все это, табулируя результаты анализа и визуализируя программные отношения как эволюционное дерево.

Как работает Simseer

Вы должны отправить Zip-архив с вредоносными программами в Simseer. Максимальный размер файла составляет 100 000 байт. Типовое имя файла должно быть: буквенно-цифровым или периодическим, и только для исполняемых файлов PE-32 и ELF-32. Максимум 20 представлений допускаются в день.

Серверы Simseer группируют образцы в кластеры, а затем сканируют неизвестный образец на предмет сходства с известными семействами вредоносных программ и выявляют новые. Затем он отображает эволюционное дерево слева, показывая отношения между существующим и новым кодом. Чем ближе программы в дереве, тем ближе они связаны и, вероятно, принадлежат к одной семье. Новые штаммы, если они найдены, каталогизируются отдельно, если они на 98% похожи на существующие штаммы.

Оценка 1,0 означает, что программы идентичны. Оценка 0,0 означает, что программы совсем не похожи. Программы, у которых сходство больше или равно 0,60, являются вариантами друг друга и выделены зеленым цветом в результатах. Чем ярче зеленый, тем больше похожи программы.

Чтобы поддерживать базу данных Simseer, Cesare загружает исходный код вредоносного ПО из открытой сети VirusShare с общим доступом к вредоносным программам и из других источников, каждый вечер в его алгоритмы вводится от 600 до 16 ГБ данных.

Через AusCERT 2013.

Оцените статью
TechArks.Ru
Добавить комментарий