Phenquestions
Em muitas ocasiões, o malware evita a detecção por mecanismos de varredura e sai ileso, passando por uma mudança em sua estrutura e comportamento. No entanto, este atributo (quando presente em grandes volumes) pode ser usado para determinar a relação entre diferentes tipos de malware e detectar novas cepas. Um estudo recente publicado pelo pesquisador de segurança Silvio Cesare enfatiza que cepas de malware podem ser identificadas por seus herança. O pesquisador desenvolveu um modelo denominado Simseer capaz de identificar um software plagiado e estabelecer relação entre malware.
O site rastreia e categoriza a herança de diferentes cepas de malware. No momento da pesquisa, Cesare percebeu que mesmo mudanças moderadas no malware não mudam as estruturas. Ele usou esse fator como um modelo para detectar correspondências aproximadas de malware e escolher uma família inteira de malware com base nessa estrutura. A análise feita pela ferramenta ajudou o pesquisador de segurança de Melbourne a determinar a relação entre o malware, avaliando sua similaridade com o existente com base no código malicioso e descobrir se um surto de malware tinha links para surtos anteriores. Ele poderia prever tudo isso tabulando os resultados da análise e visualizando os relacionamentos do programa como uma árvore evolutiva.
Como funciona o Simseer
Você deve enviar um arquivo Zip contendo o malware para Simseer. O tamanho máximo do arquivo é 100.000 bytes. O nome do arquivo de amostra deve ser: alfanumérico ou pontos e executáveis PE-32 e ELF-32 apenas. Um máximo de 20 envios são permitidos em um dia.
Os servidores Simseer agrupam as amostras em clusters e, em seguida, examinam uma amostra desconhecida em busca de semelhanças com famílias de malware conhecidas e para identificar novas. Em seguida, ele exibe uma árvore evolutiva à esquerda, mostrando as relações entre o código existente e o novo. Quanto mais próximos os programas estão da árvore, mais próximos eles estão relacionados e provavelmente pertencem à mesma família. Novas cepas, se encontradas, são catalogadas separadamente quando são menos de 98% semelhantes a uma cepa existente.
Uma pontuação de 1.0 significa que os programas são idênticos. Uma pontuação de 0.0 significa que os programas não são nada semelhantes. Programas que possuem similaridade maior ou igual a 0.60 são variantes umas das outras e destacadas em verde nos resultados. Quanto mais brilhante o verde, mais semelhantes são os programas.
Para manter o banco de dados de Simseer, Cesare baixa o código de malware bruto da rede aberta de compartilhamento de malware VirusShare e outras fontes, com entre 600 MB e 16 GB de dados alimentados em seus algoritmos todas as noites.
Via AusCERT 2013.
