Phenquestions
In vielen Fällen entgeht Malware der Erkennung durch Scan-Engines und bleibt unbeschadet, wenn sich ihre Struktur und ihr Verhalten ändern. Dieses eine Attribut kann jedoch (wenn es in großen Mengen vorhanden ist) verwendet werden, um die Beziehung zwischen verschiedenen Arten von Malware zu bestimmen und neue Stämme zu erkennen. Eine aktuelle Studie des Sicherheitsforschers Silvio Cesare betont, dass Malware-Stämme anhand ihrer by Erbe. Der Forscher entwickelte ein Modell namens Simseer in der Lage, eine plagiierte Software zu identifizieren und eine Beziehung zwischen Malware herzustellen.
Die Website verfolgt und kategorisiert das Erbe verschiedener Malware-Stämme. Zum Zeitpunkt der Recherche stellte Cesare fest, dass selbst moderate Änderungen an Malware die Strukturen nicht verändern. Er verwendete diesen Faktor als Modell, um ungefähre Übereinstimmungen von Malware zu erkennen, und wählte eine ganze Malware-Familie basierend auf dieser einen Struktur aus. Die von dem Tool durchgeführte Analyse half dem in Melbourne ansässigen Sicherheitsforscher, die Beziehung zwischen Malware zu bestimmen, indem er ihre Ähnlichkeit mit existierender Malware basierend auf bösartigem Code bewertete und feststellte, ob ein Malware-Ausbruch Verbindungen zu früheren Ausbrüchen hatte. All dies konnte er vorhersagen, indem er die Analyseergebnisse tabellarisch aufstellte und die Programmbeziehungen als evolutionären Baum visualisierte.
Wie funktioniert Simseer
Sie müssen ein Zip-Archiv mit der Malware an Simseer senden. Die maximale Dateigröße pro beträgt 100.000 Byte. Der Beispieldateiname muss lauten: alphanumerisch oder Punkte und nur ausführbare PE-32- und ELF-32-Dateien. Pro Tag sind maximal 20 Einreichungen zulässig.
Simseer-Server gruppieren die Proben in Clustern und scannen dann eine unbekannte Probe auf Ähnlichkeiten mit bekannten Malware-Familien und um neue zu identifizieren. Es zeigt dann links einen evolutionären Baum an, der die Beziehungen zwischen bestehendem und neuem Code zeigt. Je näher die Programme im Baum sind, desto enger sind sie verwandt und gehören wahrscheinlich derselben Familie an. Neue Stämme werden, wenn sie gefunden werden, separat katalogisiert, wenn sie zu weniger als 98% einem bestehenden Stamm ähnlich sind.
Eine Punktzahl von 1.0 bedeutet, dass die Programme identisch sind. Eine Punktzahl von 0.0 bedeutet, dass die Programme überhaupt nicht ähnlich sind. Programme mit einer Ähnlichkeit größer oder gleich 0.60 sind Varianten voneinander und in den Ergebnissen grün markiert. Je heller das Grün, desto ähnlicher sind die Programme.
Um Simseers Datenbank zu pflegen, lädt Cesare rohen Malware-Code vom offenen Malware-Sharing-Netzwerk VirusShare und anderen Quellen herunter, wobei jede Nacht zwischen 600 MB und 16 GB Daten in seine Algorithmen eingespeist werden.
Über AusCERT 2013.
