Simseer identifiziert neue Malware-Stämme anhand ihres Erbes
In vielen Fällen vermeidet Malware die Erkennung durch Scan-Engines und entkommt unbeschadet einer Änderung in ihrer Struktur und ihrem Verhalten. Dieses eine Attribut (wenn es in großen Mengen vorhanden ist) kann jedoch verwendet werden, um die Zuordnung zwischen verschiedenen Arten von Malware festzustellen und neue Stämme zu erkennen. Eine kürzlich vom Sicherheitsforscher Silvio Cesare veröffentlichte Studie hebt hervor, dass Malware-Stämme anhand ihrer identifiziert werden können Erbe. Der Forscher entwickelte ein Modell namens Simseer in der Lage, eine plagiierte Software zu identifizieren und eine Beziehung zwischen Malware herzustellen.
Die Website verfolgt und kategorisiert das Erbe verschiedener Malware-Stämme. Bei der Recherche stellte Cesare fest, dass selbst moderate Änderungen an Malware die Strukturen nicht verändern. Er verwendete diesen Faktor als Modell zum Erkennen von ungefähren Übereinstimmungen mit Malware und wählte eine gesamte Malware-Familie basierend auf dieser einen Struktur aus. Die durch das Tool durchgeführte Analyse half dem in Melbourne ansässigen Sicherheitsforscher, die Beziehung zwischen Malware zu bestimmen, indem sie deren Ähnlichkeit mit der vorhandenen auf der Grundlage von schädlichem Code beurteilte und die Ursache eines Ausbruchs von Malware mit früheren Ausbrüchen aufzeigte. All dies konnte er vorhersagen, indem er die Analyseergebnisse tabelliert und die Programmbeziehungen als evolutionären Baum visualisiert.
Wie funktioniert Simseer?
Sie müssen ein Zip-Archiv mit der Malware an Simseer einreichen. Die maximale Dateigröße beträgt 100.000 Byte. Der Beispieldateiname muss Folgendes enthalten: alphanumerisch oder Punkte und nur ausführbare Dateien für PE-32 und ELF-32. An einem Tag sind maximal 20 Einreichungen zulässig.
Simseer-Server fassen die Beispiele in Clustern zusammen und scannen dann ein unbekanntes Beispiel nach Ähnlichkeiten mit bekannten Malware-Familien und zur Identifizierung neuer. Anschließend wird links ein Evolutionsbaum angezeigt, der die Beziehungen zwischen vorhandenem und neuem Code zeigt. Je näher sich die Programme im Baum befinden, desto enger sind sie verwandt und gehören wahrscheinlich derselben Familie an. Wenn neue Stämme gefunden werden, werden sie separat katalogisiert, wenn sie einem vorhandenen Stamm weniger als 98% entsprechen.
Eine Punktzahl von 1,0 bedeutet, dass die Programme identisch sind. Eine Punktzahl von 0,0 bedeutet, dass die Programme überhaupt nicht ähnlich sind. Programme mit einer Ähnlichkeit größer oder gleich 0,60 sind Varianten voneinander und werden in den Ergebnissen grün hervorgehoben. Je heller das Grün, desto ähnlicher sind die Programme.
Um die Datenbank von Simseer zu verwalten, lädt Cesare rohen Malware-Code aus dem offenen MalwareShare-Netzwerk VirusShare und anderen Quellen herunter, wobei jede Nacht zwischen 600 MB und 16 GB Daten in seine Algorithmen eingespeist werden.
Über AusCERT 2013.