Phenquestions
Pada banyak kesempatan, malware menghindari deteksi oleh mesin pemindai, dan lolos tanpa cedera dengan mengalami perubahan dalam struktur dan perilakunya. Namun, satu atribut ini (bila ada dalam volume besar) dapat digunakan untuk menentukan hubungan antara berbagai jenis malware dan mendeteksi jenis baru. Sebuah studi baru-baru ini yang diterbitkan oleh peneliti keamanan Silvio Cesare menekankan strain malware dapat diidentifikasi oleh mereka warisan. Peneliti mengembangkan model yang disebut Simseer mampu mengidentifikasi perangkat lunak yang dijiplak dan membangun hubungan antara malware.
Situs web melacak dan mengkategorikan warisan berbagai jenis malware. Pada saat penelitian Cesare menyadari bahwa bahkan perubahan moderat pada malware tidak mengubah struktur. Dia menggunakan faktor ini sebagai model untuk mendeteksi perkiraan kecocokan malware, dan memilih seluruh keluarga malware berdasarkan satu struktur itu. Analisis yang dilakukan oleh alat tersebut membantu peneliti keamanan yang berbasis di Melbourne menentukan hubungan antara malware dengan menilai kesamaannya dengan yang ada berdasarkan kode berbahaya dan menemukan apakah wabah malware memiliki tautan ke wabah sebelumnya. Dia bisa memprediksi semua ini dengan membuat tabulasi hasil analisis dan memvisualisasikan hubungan program sebagai pohon evolusi.
Bagaimana cara kerja Simseer?
Anda harus mengirimkan arsip Zip yang berisi malware ke Simseer. Ukuran file maksimum per adalah 100.000 byte. Contoh nama file harus: alfanumerik atau titik dan hanya dapat dieksekusi PE-32 dan ELF-32. Maksimal 20 pengiriman diperbolehkan dalam sehari.
Server Simseer mengelompokkan sampel ke dalam kluster, lalu memindai sampel yang tidak dikenal untuk kesamaan dengan keluarga malware yang dikenal dan untuk mengidentifikasi yang baru. Ini kemudian menampilkan pohon evolusi di sebelah kiri, menunjukkan hubungan antara kode yang ada dan yang baru. Semakin dekat program di pohon, semakin dekat mereka terkait dan cenderung milik keluarga yang sama. Strain baru, jika ditemukan dikatalogkan secara terpisah bila kurang dari 98% mirip dengan strain yang ada.
Skor 1.0 berarti programnya identik. Skor 0.0 berarti programnya sama sekali tidak mirip. Program yang memiliki kemiripan lebih besar atau sama dengan 0.60 adalah varian satu sama lain dan disorot hijau di hasil. Semakin terang hijaunya, semakin mirip programnya.
Untuk memelihara basis data Simseer, Cesare mengunduh kode malware mentah dari jaringan berbagi malware terbuka VirusShare dan sumber lainnya, dengan antara 600MB dan 16GB data dimasukkan ke dalam algoritmenya setiap malam.
Melalui AusCERT 2013.
