Во многих случаях вредоносные программы ускользают от обнаружения сканирующими механизмами и остаются невредимыми, претерпевая изменения в своей структуре и поведении. Однако этот единственный атрибут (когда он присутствует в больших объемах) может использоваться для определения взаимосвязи между различными типами вредоносных программ и обнаружения новых штаммов. В недавнем исследовании, опубликованном исследователем безопасности Сильвио Чезаре, подчеркивается, что штаммы вредоносных программ могут быть идентифицированы по их наследство. Исследователь разработал модель под названием Simseer способный выявить плагиат программного обеспечения и установить связь между вредоносными программами.
Веб-сайт отслеживает и классифицирует наследие различных видов вредоносных программ. Во время исследования Чезаре понял, что даже умеренные изменения вредоносного ПО не меняют структуру. Он использовал этот фактор в качестве модели для обнаружения приблизительных совпадений вредоносных программ и выбора целого семейства вредоносных программ на основе этой единой структуры. Анализ, проведенный с помощью этого инструмента, помог исследователю безопасности из Мельбурна определить взаимосвязь между вредоносными программами, оценив их сходство с существующими на основе вредоносного кода, и выяснить, была ли вспышка вредоносного ПО связана с предыдущими вспышками. Он мог все это предсказать, свел в таблицу результаты анализа и визуализировав взаимосвязи программ в виде эволюционного дерева.
Как работает Simseer
Вы должны отправить в Simseer Zip-архив, содержащий вредоносное ПО. Максимальный размер файла - 100 000 байт. Имя файла образца должно быть: буквенно-цифровым или точками и только исполняемыми файлами PE-32 и ELF-32. В день можно подать не более 20 заявок.
Серверы Simseer группируют образцы в кластеры, затем сканируют неизвестный образец на предмет сходства с известными семействами вредоносных программ и для выявления новых. Затем слева отображается эволюционное дерево, показывающее отношения между существующим и новым кодом. Чем ближе программы находятся в дереве, тем ближе они связаны и, скорее всего, принадлежат к одному семейству. Новые штаммы, если они обнаруживаются, заносятся в каталог отдельно, если они менее чем на 98% похожи на существующий штамм.
Оценка 1.0 означает, что программы идентичны. Оценка 0.0 означает, что программы совсем не похожи. Программы, которые имеют сходство больше или равно 0.60 - варианты друг друга и выделены зеленым цветом в результатах. Чем ярче зеленый цвет, тем программы похожи друг на друга.
Для поддержки базы данных Simseer Чезаре загружает необработанный вредоносный код из открытой сети обмена вредоносными программами VirusShare и из других источников, при этом каждую ночь в его алгоритмы загружается от 600 МБ до 16 ГБ данных.
Через AusCERT 2013.