Phenquestions
In veel gevallen ontwijkt malware detectie door scanengines en ontsnapt het ongedeerd door een wijziging in de structuur en het gedrag te ondergaan. Dit ene kenmerk (indien aanwezig in grote volumes) kan echter worden gebruikt om de relatie tussen verschillende soorten malware te bepalen en nieuwe soorten te detecteren. Een recente studie gepubliceerd door beveiligingsonderzoeker Silvio Cesare benadrukt dat malwarestammen kunnen worden geïdentificeerd aan de hand van hun: erfgoed. De onderzoeker ontwikkelde een model genaamd Simseer in staat om geplagieerde software te identificeren en een relatie tussen malware tot stand te brengen.
De website volgt en categoriseert het erfgoed van verschillende soorten malware. Op het moment van onderzoek realiseerde Cesare zich dat zelfs matige wijzigingen in malware de structuren niet veranderen. Hij gebruikte deze factor als een model voor het detecteren van overeenkomsten van malware, en koos een hele familie malware uit op basis van die ene structuur. De analyse die door de tool werd uitgevoerd, hielp de in Melbourne gevestigde beveiligingsonderzoeker om de relatie tussen malware te bepalen door hun gelijkenis met bestaande te beoordelen op basis van kwaadaardige code en te achterhalen of een malware-uitbraak links had naar eerdere uitbraken. Hij kon dit allemaal voorspellen door de analyseresultaten in een tabel te zetten en de programmarelaties te visualiseren als een evolutionaire boom.
Hoe werkt Simseer
Je moet een Zip-archief met de malware indienen bij Simseer. De maximale bestandsgrootte per is 100.000 bytes. De voorbeeldbestandsnaam moet zijn: alfanumeriek of punten en alleen de uitvoerbare bestanden PE-32 en ELF-32. Er zijn maximaal 20 inzendingen per dag toegestaan.
Simseer-servers groeperen de monsters in clusters en scannen vervolgens een onbekend voorbeeld op overeenkomsten met bekende malwarefamilies en om nieuwe te identificeren. Het toont dan een evolutionaire boom aan de linkerkant, die de relaties toont tussen bestaande en nieuwe code. Hoe dichter de programma's in de boom staan, hoe nauwer ze verwant zijn en waarschijnlijk tot dezelfde familie behoren. Nieuwe stammen, indien gevonden, worden afzonderlijk gecatalogiseerd als ze minder dan 98% lijken op een bestaande stam.
Een score van 1.0 betekent dat de programma's identiek zijn. Een score van 0.0 betekent dat de programma's helemaal niet op elkaar lijken. Programma's met een gelijkenis groter of gelijk aan 0.60 zijn varianten van elkaar en zijn groen gemarkeerd in de resultaten. Hoe helderder het groen, hoe meer de programma's op elkaar lijken.
Om de database van Simseer te onderhouden, downloadt Cesare onbewerkte malwarecode van het open malware-deelnetwerk VirusShare en andere bronnen, waarbij elke nacht tussen de 600 MB en 16 GB aan gegevens in zijn algoritmen wordt ingevoerd.
Via AusCERT 2013.
