Simseer identifica i nuovi ceppi di Malware dal loro retaggio
In molte occasioni, il malware elude il rilevamento tramite i motori di scansione e fugge incolume subendo un cambiamento nella sua struttura e nel suo comportamento. Tuttavia, questo attributo (quando presente in grandi volumi) può essere utilizzato per determinare il legame tra diversi tipi di malware e rilevare nuovi ceppi. Un recente studio pubblicato dal ricercatore della sicurezza Silvio Cesare sottolinea che i ceppi di malware possono essere identificati dai loro eredità. Il ricercatore ha sviluppato un modello chiamato Simseer in grado di identificare un software plagiato e stabilire una relazione tra malware.
Il sito web traccia e classifica l'eredità di diversi ceppi di malware. Al momento della ricerca, Cesare si rese conto che anche modifiche moderate al malware non cambiano le strutture. Ha usato questo fattore come modello per rilevare le corrispondenze approssimative del malware e scegliere un'intera famiglia di malware basata su quella struttura. L'analisi effettuata dallo strumento ha aiutato il ricercatore di sicurezza basato a Melbourne a determinare la relazione tra il malware valutando la loro somiglianza con l'esistente sulla base di codice malevolo e scoprire se un'epidemia di malware aveva collegamenti a focolai precedenti. Poteva prevedere tutto questo tabulando i risultati dell'analisi e visualizzando le relazioni del programma come un albero evolutivo.
Come funziona Simseer
Devi inviare un archivio Zip contenente il malware a Simseer. La dimensione massima del file per è 100.000 byte. Il nome file di esempio deve essere: alfanumerico o periodi e solo eseguibili PE-32 ed ELF-32. In un giorno sono consentite massimo 20 presentazioni.
I server Simseer raggruppano i campioni in cluster, quindi eseguono la scansione di un campione sconosciuto per somiglianze con famiglie di malware noti e per identificarne di nuovi. Visualizza quindi un albero evolutivo sulla sinistra, mostrando le relazioni tra codice esistente e nuovo. Più i programmi si avvicinano all'albero, più sono vicini e probabilmente appartengono alla stessa famiglia. I nuovi ceppi, se trovati, sono catalogati separatamente quando sono meno del 98% simili a un ceppo esistente.
Un punteggio di 1.0 significa che i programmi sono identici. Un punteggio di 0.0 significa che i programmi non sono affatto simili. I programmi con una somiglianza maggiore o uguale a 0,60 sono varianti l'uno dell'altro e evidenziati in verde nei risultati. Più il verde è luminoso, più i programmi sono simili.
Per mantenere il database di Simseer, Cesare scarica il codice malevolo dalla rete aperta VirusShare e da altre fonti, con tra 600 MB e 16 GB di dati inseriti nei suoi algoritmi ogni notte.
Via AusCERT 2013.