Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine

Table des matières:

Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine
Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine

Vidéo: Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine

Vidéo: Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine
Vidéo: Download and Install your Bing Desktop from MicroSoft - YouTube 2024, Novembre
Anonim

À de nombreuses reprises, les logiciels malveillants évitent la détection par les moteurs d'analyse et s'en sortent indemnes en subissant un changement de structure et de comportement. Toutefois, cet attribut (lorsqu'il est présent dans de grands volumes) peut être utilisé pour déterminer le lien de filiation entre différents types de programmes malveillants et détecter de nouvelles souches. Une étude récente publiée par le chercheur en sécurité Silvio Cesare souligne que les souches de malware peuvent être identifiées par leur patrimoine. Le chercheur a développé un modèle appelé Simser capable d'identifier un logiciel plagié et d'établir une relation entre les logiciels malveillants.

Le site Web suit et catégorise l'héritage de différentes souches de logiciels malveillants. Au moment de la recherche, Cesare s’est rendu compte que même des modifications modérées aux programmes malveillants ne modifient pas les structures. Il a utilisé ce facteur comme modèle pour détecter des correspondances approximatives de logiciels malveillants et a sélectionné une famille complète de logiciels malveillants en fonction de cette structure. L'analyse effectuée par l'outil a aidé le chercheur en sécurité basé à Melbourne à déterminer la relation entre les logiciels malveillants en évaluant leur similarité avec les codes existants et à déterminer si une épidémie avait des liens avec des épidémies précédentes. Il pouvait prédire tout cela en totalisant les résultats de l'analyse et en visualisant les relations du programme comme un arbre évolutif.
Le site Web suit et catégorise l'héritage de différentes souches de logiciels malveillants. Au moment de la recherche, Cesare s’est rendu compte que même des modifications modérées aux programmes malveillants ne modifient pas les structures. Il a utilisé ce facteur comme modèle pour détecter des correspondances approximatives de logiciels malveillants et a sélectionné une famille complète de logiciels malveillants en fonction de cette structure. L'analyse effectuée par l'outil a aidé le chercheur en sécurité basé à Melbourne à déterminer la relation entre les logiciels malveillants en évaluant leur similarité avec les codes existants et à déterminer si une épidémie avait des liens avec des épidémies précédentes. Il pouvait prédire tout cela en totalisant les résultats de l'analyse et en visualisant les relations du programme comme un arbre évolutif.

Comment fonctionne Simseer

Vous devez soumettre une archive Zip contenant le logiciel malveillant à Simseer. La taille de fichier maximale par fichier est 100 000 octets. Le nom de fichier exemple doit être: alphanumérique ou points et uniquement les exécutables PE-32 et ELF-32. Un maximum de 20 soumissions sont autorisées par jour.

Les serveurs Simseer regroupent les échantillons en clusters, puis analysent un échantillon inconnu afin de rechercher des similitudes avec des familles de programmes malveillants connus et d'identifier de nouveaux. Il affiche ensuite un arbre d'évolution à gauche, montrant les relations entre le code existant et le nouveau. Plus les programmes sont proches dans l’arbre, plus ils sont liés et appartiennent probablement à la même famille. Les nouvelles souches, si elles sont trouvées, sont cataloguées séparément lorsqu'elles ressemblent à moins de 98% aux souches existantes.

Un score de 1,0 signifie que les programmes sont identiques. Un score de 0,0 signifie que les programmes ne sont pas du tout similaires. Les programmes dont la similarité est supérieure ou égale à 0,60 sont des variantes les uns des autres et sont surlignés en vert dans les résultats. Plus le vert est brillant, plus les programmes sont similaires.
Un score de 1,0 signifie que les programmes sont identiques. Un score de 0,0 signifie que les programmes ne sont pas du tout similaires. Les programmes dont la similarité est supérieure ou égale à 0,60 sont des variantes les uns des autres et sont surlignés en vert dans les résultats. Plus le vert est brillant, plus les programmes sont similaires.

Pour gérer la base de données de Simseer, Cesare télécharge le code brut des programmes malveillants depuis le réseau de partage de logiciels malveillants VirusShare et d’autres sources, avec des données allant de 600 Mo à 16 Go dans ses algorithmes tous les soirs.

Via AusCERT 2013.

Conseillé: