Simseer identifica nuevas cepas de malware por su herencia
En muchas ocasiones, los programas maliciosos evitan la detección mediante motores de exploración y escapan ilesos al sufrir un cambio en su estructura y comportamiento. Sin embargo, este atributo (cuando está presente en grandes volúmenes) se puede utilizar para determinar la relación entre diferentes tipos de malware y detectar nuevas cepas. Un estudio reciente publicado por el investigador de seguridad Silvio Cesare enfatiza que las cepas de malware se pueden identificar por su patrimonio. El investigador desarrolló un modelo llamado Simseer capaz de identificar un software plagiado y establecer una relación entre el malware.
El sitio web rastrea y clasifica la herencia de diferentes cepas de malware. En el momento de la investigación, Cesare se dio cuenta de que incluso los cambios moderados en el malware no cambian las estructuras. Utilizó este factor como modelo para detectar coincidencias aproximadas de malware y seleccionó una familia completa de malware basándose en esa estructura. El análisis realizado por la herramienta ayudó al investigador de seguridad con sede en Melbourne a determinar la relación entre el malware al evaluar su similitud con el código malicioso existente y determinar si un brote de malware tenía vínculos con brotes anteriores. Podía predecir todo esto tabulando los resultados del análisis y visualizando las relaciones del programa como un árbol evolutivo..
¿Cómo funciona Simseer?
Tienes que enviar un archivo Zip que contenga el malware a Simseer. El tamaño máximo de archivo por 100.000 bytes. El nombre de archivo de muestra debe ser: alfanumérico o puntos y solo ejecutables PE-32 y ELF-32. Se permite un máximo de 20 presentaciones en un día..
Los servidores Simseer agrupan las muestras en grupos, luego analizan una muestra desconocida en busca de similitudes con familias de malware conocidas e identifican nuevas. A continuación, muestra un árbol evolutivo a la izquierda, que muestra las relaciones entre el código existente y el nuevo. Cuanto más cerca están los programas en el árbol, más cercanos están relacionados y es probable que pertenezcan a la misma familia. Las nuevas cepas, si se encuentran, se catalogan por separado cuando son menos del 98% similares a una cepa existente.
Una puntuación de 1.0 significa que los programas son idénticos. Una puntuación de 0.0 significa que los programas no son en absoluto similares. Los programas que tienen una similitud mayor o igual a 0.60 son variantes entre sí y se resaltan en verde en los resultados. Cuanto más brillante es el verde, más similares son los programas..
Para mantener la base de datos de Simseer, Cesare descarga código de malware sin procesar de VirusShare, una red abierta para compartir malware, y otras fuentes, con entre 600 MB y 16 GB de datos ingresados en sus algoritmos cada noche.
Via AusCERT 2013.