Phenquestions
Daudzos gadījumos ļaunprogrammatūra izvairās no atklāšanas, skenējot motorus, un aizbēg neskarta, mainot tās struktūru un izturēšanos. Tomēr šo vienu atribūtu (ja tas ir lielos apjomos) var izmantot, lai noteiktu saikni starp dažādu veidu ļaunprogrammatūru un noteiktu jaunus celmus. Drošības pētnieka Silvio Cesare nesen publicētais pētījums uzsver, ka ļaunprātīgas programmatūras celmus var identificēt pēc to mantojumu. Pētnieks izstrādāja modeli ar nosaukumu Simseers spēj identificēt plaģiātu programmatūru un noteikt saikni starp ļaunprātīgu programmatūru.
Vietne izseko un kategorizē dažādu ļaunprogrammatūru celmus. Pētījuma laikā Cesare saprata, ka pat mērenas izmaiņas ļaunprogrammatūrā nemaina struktūru. Viņš izmantoja šo faktoru kā modeli, lai noteiktu aptuvenas ļaunprātīgas programmatūras atbilstības, un izvēlējās visu ļaunprogrammatūru saimi, pamatojoties uz šo vienu struktūru. Rīka veiktā analīze palīdzēja Melburnā bāzētajam drošības pētniekam noteikt saikni starp ļaunprātīgu programmatūru, novērtējot to līdzību esošajai, pamatojoties uz ļaunprātīgu kodu, un noskaidrojot, vai ļaunprātīgas programmatūras uzliesmojumam ir saites uz iepriekšējiem uzliesmojumiem. Viņš to visu varēja paredzēt, apkopojot analīzes rezultātus tabulās un vizualizējot programmu attiecības kā evolūcijas koku.
Kā darbojas Simseer
Jums ir jāiesniedz Simseer Zip arhīvs ar ļaunprātīgu programmatūru. Maksimālais faila lielums ir 100 000 baiti. Faila nosaukuma paraugam jābūt: burtciparu vai punktu un tikai izpildāmo failu PE-32 un ELF-32. Dienā ir pieļaujami ne vairāk kā 20 iesniegumi.
Simseer serveri sagrupē paraugus kopās, pēc tam skenē nezināmu paraugu, lai atrastu līdzību ar zināmām ļaunprogrammatūru saitēm un identificētu jaunus. Pēc tam kreisajā pusē tas parāda evolūcijas koku, parādot attiecības starp esošo un jauno kodu. Jo tuvāk programmas atrodas kokā, jo tuvāk tās ir saistītas un, visticamāk, pieder vienai un tai pašai ģimenei. Jauni celmi, ja tādi ir, tiek katalogēti atsevišķi, ja tie ir mazāk nekā 98% līdzīgi esošajam celmam.
Rezultāts 1.0 nozīmē, ka programmas ir identiskas. Rezultāts 0.0 nozīmē, ka programmas nemaz nav līdzīgas. Programmas, kuru līdzība ir lielāka vai vienāda ar 0.60 ir viens otra varianti un rezultātos izcelti zaļā krāsā. Jo košāks ir zaļš, jo līdzīgākas ir programmas.
Lai uzturētu Simseer datu bāzi, Cesare lejupielādē neapstrādātu ļaunprātīgas programmatūras kodu no atvērta ļaunprātīgas programmatūras koplietošanas tīkla VirusShare un citiem avotiem, katru vakaru viņa algoritmos ievadot datus no 600 MB līdz 16 GB.
Caur AusCERT 2013.
