Simseer identificē jaunus Malware celmus ar savu mantojumu

Satura rādītājs:

Simseer identificē jaunus Malware celmus ar savu mantojumu
Simseer identificē jaunus Malware celmus ar savu mantojumu

Video: Simseer identificē jaunus Malware celmus ar savu mantojumu

Video: Simseer identificē jaunus Malware celmus ar savu mantojumu
Video: Microsoft Bing Wallpapers app for Windows 10 || NEW Wallpaper Daily - YouTube 2024, Novembris
Anonim

Daudzkārt kaitīgā programmatūra izvairās no detektēšanas, skenējot dzinējus, un izvairīties no nepatīkamām izmaiņām, mainot struktūru un uzvedību. Tomēr šo vienu atribūtu (ja tie ir lielos apjomos) var izmantot, lai noteiktu dažādu ļaundabīgo programmu veidu un noteiktu jaunus celmus. Nesen veiktais pētījums, ko publicēja drošības pētnieks Silvio Česare, uzsver, ka viņu ļaundabības celmus var identificēt mantojums. Pētnieks izstrādāja modeli, ko sauca Simseer kas spēj identificēt plaģiātu programmatūru un izveidot attiecības starp ļaundabīgo programmu.

Mājas lapa izseko un klasificē dažādu ļaundabīgo programmu celmu mantojumu. Pētījuma laikā Cesare saprata, ka pat mērenas izmaiņas ļaundabīgās programmās nemainās struktūras. Viņš izmantoja šo faktoru kā paraugu ļaundabīgo programmu aptuveno atbilsmju noteikšanai un visu šīs programmatūras saimi, pamatojoties uz šo vienu struktūru. Izmantojot šo rīku veikto analīzi, Melburnas drošības pētnieks palīdzēja noteikt saikni starp ļaundabīgo programmu, novērtējot to līdzību esošajiem, pamatojoties uz ļaunprātīgu kodu, un noskaidrojot, vai uz ļaundabīgo programmu uzliesmojums bija saistītas ar iepriekšējiem uzliesmojumiem. Viņš to visu varēja prognozēt, tabulējot analīžu rezultātus un vizuāli parādot programmas attiecības kā evolucionāru koku.
Mājas lapa izseko un klasificē dažādu ļaundabīgo programmu celmu mantojumu. Pētījuma laikā Cesare saprata, ka pat mērenas izmaiņas ļaundabīgās programmās nemainās struktūras. Viņš izmantoja šo faktoru kā paraugu ļaundabīgo programmu aptuveno atbilsmju noteikšanai un visu šīs programmatūras saimi, pamatojoties uz šo vienu struktūru. Izmantojot šo rīku veikto analīzi, Melburnas drošības pētnieks palīdzēja noteikt saikni starp ļaundabīgo programmu, novērtējot to līdzību esošajiem, pamatojoties uz ļaunprātīgu kodu, un noskaidrojot, vai uz ļaundabīgo programmu uzliesmojums bija saistītas ar iepriekšējiem uzliesmojumiem. Viņš to visu varēja prognozēt, tabulējot analīžu rezultātus un vizuāli parādot programmas attiecības kā evolucionāru koku.

Kā darbojas Simseer

Simseeram ir jāiesniedz ZIP arhīvs ar ļaunprātīgu programmatūru. Maksimālais faila izmērs ir 100 000 baiti. Parauga faila nosaukumam jābūt: burtciparu vai periodiem, un tikai PE-32 un ELF-32 izpildāmajiem failiem. Maksimāli 20 iesniegumi ir pieļaujami dienā.

Simseer serveri grupē paraugus klasteros, pēc tam skenē nezināmu paraugu līdzīgām pazīmēm ar zināmām ļaundabīgo programmu ģimenēm un identificē jaunus. Tajā parādās evolūcijas koks pie kreisās puses, parādot attiecības starp esošo un jauno kodu. Jo tuvāk programmas atrodas kokā, jo tuvāk tās ir saistītas un var piederēt vienai ģimenei. Jaunie celmi, ja tie atrodami, tiek kataloģēti atsevišķi, ja tie ir mazāki par 98%, līdzīgi esošam celmam.

Rezultāts 1,0 nozīmē, ka programmas ir identiskas. Reitings ar 0,0 nozīmē, ka programmas vispār nav līdzīgas. Programmas, kuru līdzība ir lielāka vai vienāda ar 0.60, ir viens otru varianti un rezultāts ir iezīmēts kā zaļš. Jo spilgtāks ir zaļš, jo līdzīgākas ir programmas.
Rezultāts 1,0 nozīmē, ka programmas ir identiskas. Reitings ar 0,0 nozīmē, ka programmas vispār nav līdzīgas. Programmas, kuru līdzība ir lielāka vai vienāda ar 0.60, ir viens otru varianti un rezultāts ir iezīmēts kā zaļš. Jo spilgtāks ir zaļš, jo līdzīgākas ir programmas.

Lai saglabātu Simseer datubāzi, Cesare lejupielādē neapstrādātu ļaunprātīgas programmatūras kodu no atklāta ļaundabīgo programmu koplietošanas tīkla VirusShare un citiem avotiem, savukārt no katras nakts algoritmiem ievadīto datu apjoms ir no 600 MB līdz 16 GB.

Via AusCERT 2013.

Ieteicams: