Simseer mengidentifikasi Malware Strain baru oleh Heritage mereka

Daftar Isi:

Simseer mengidentifikasi Malware Strain baru oleh Heritage mereka
Simseer mengidentifikasi Malware Strain baru oleh Heritage mereka

Video: Simseer mengidentifikasi Malware Strain baru oleh Heritage mereka

Video: Simseer mengidentifikasi Malware Strain baru oleh Heritage mereka
Video: Microsoft Bing Wallpapers app for Windows 10 || NEW Wallpaper Daily - YouTube 2024, Maret
Anonim

Dalam banyak kesempatan, malware menghindarkan deteksi oleh mesin pemindai, dan melarikan diri tanpa cedera dengan mengalami perubahan dalam struktur dan perilakunya. Namun, atribut yang satu ini (bila ada dalam volume besar) dapat digunakan untuk menentukan hubungan antara berbagai jenis malware dan mendeteksi strain baru. Sebuah penelitian terbaru yang diterbitkan oleh peneliti keamanan Silvio Cesare menekankan strain malware dapat diidentifikasi oleh mereka warisan. Peneliti mengembangkan model yang disebut Simseer mampu mengidentifikasi perangkat lunak yang dijiplak dan membangun hubungan antara malware.

Situs web melacak dan mengkategorikan warisan berbagai jenis malware yang berbeda. Pada saat penelitian, Cesare menyadari bahwa perubahan moderat terhadap malware pun tidak mengubah strukturnya. Dia menggunakan faktor ini sebagai model untuk mendeteksi perkiraan kecocokan perangkat lunak jahat, dan memilih seluruh keluarga malware berdasarkan satu struktur itu. Analisis yang dilakukan oleh alat ini membantu peneliti keamanan yang berbasis di Melbourne menentukan hubungan antara malware dengan menilai kemiripan mereka dengan yang ada berdasarkan kode berbahaya dan menemukan apakah wabah malware memiliki kaitan dengan wabah sebelumnya. Dia bisa memprediksi semua ini dengan tabulasi hasil analisis dan memvisualisasikan hubungan program sebagai pohon evolusi.
Situs web melacak dan mengkategorikan warisan berbagai jenis malware yang berbeda. Pada saat penelitian, Cesare menyadari bahwa perubahan moderat terhadap malware pun tidak mengubah strukturnya. Dia menggunakan faktor ini sebagai model untuk mendeteksi perkiraan kecocokan perangkat lunak jahat, dan memilih seluruh keluarga malware berdasarkan satu struktur itu. Analisis yang dilakukan oleh alat ini membantu peneliti keamanan yang berbasis di Melbourne menentukan hubungan antara malware dengan menilai kemiripan mereka dengan yang ada berdasarkan kode berbahaya dan menemukan apakah wabah malware memiliki kaitan dengan wabah sebelumnya. Dia bisa memprediksi semua ini dengan tabulasi hasil analisis dan memvisualisasikan hubungan program sebagai pohon evolusi.

Bagaimana cara kerja Simseer

Anda harus mengirimkan arsip Zip yang berisi malware ke Simseer. Ukuran file maksimum per adalah 100.000 byte. Nama file sampel harus: alfanumerik atau periode dan PE-32 dan ELF-32 hanya untuk dieksekusi. Maksimal 20 pengiriman diperbolehkan dalam satu hari.

Server Simseer mengelompokkan sampel ke dalam kelompok, lalu memindai sampel tidak dikenal untuk kesamaan dengan keluarga malware yang dikenal dan untuk mengidentifikasi yang baru. Ini kemudian menampilkan pohon evolusi di sebelah kiri, menunjukkan hubungan antara kode yang ada dan yang baru. Semakin dekat program di pohon, semakin dekat mereka terkait dan cenderung menjadi milik keluarga yang sama. Strain baru, jika ditemukan adalah katalog terpisah ketika mereka kurang dari 98% mirip dengan strain yang ada.

Skor 1,0 berarti programnya identik. Skor 0,0 berarti program sama sekali tidak serupa. Program yang memiliki kesamaan lebih besar atau sama dengan 0,60 adalah varian satu sama lain dan disorot hijau dalam hasil. Semakin terang warnanya, semakin mirip programnya.
Skor 1,0 berarti programnya identik. Skor 0,0 berarti program sama sekali tidak serupa. Program yang memiliki kesamaan lebih besar atau sama dengan 0,60 adalah varian satu sama lain dan disorot hijau dalam hasil. Semakin terang warnanya, semakin mirip programnya.

Untuk mempertahankan basis data Simseer, Cesare mengunduh kode malware mentah dari jaringan berbagi malware terbuka, VirusShare, dan sumber lain, dengan data antara 600MB dan 16GB dimasukkan ke dalam algoritmenya setiap malam.

Via AusCERT 2013.

Direkomendasikan: