Phenquestions
Številna priložnost se zlonamerna programska oprema izogne zaznavanju s pomočjo optičnih bralnikov in pobegne nepoškodovana s spremembo njene strukture in vedenja. Vendar pa lahko s tem enim atributom (kadar je prisoten v velikih količinah) določimo razmerje med različnimi vrstami zlonamerne programske opreme in zaznamo nove vrste. Nedavna študija, ki jo je objavil raziskovalec varnosti Silvio Cesare, poudarja, da je seve zlonamerne programske opreme mogoče prepoznati po njih dediščina. Raziskovalec je razvil model, imenovan Simseer sposoben prepoznati plagiatorizirano programsko opremo in vzpostaviti odnos med zlonamerno programsko opremo.
Spletno mesto spremlja in kategorizira dediščino različnih vrst zlonamerne programske opreme. V času raziskav je Cesare spoznal, da tudi zmerne spremembe zlonamerne programske opreme ne spremenijo struktur. Ta dejavnik je uporabil kot model za odkrivanje približnih ujemanj zlonamerne programske opreme in na podlagi te strukture izbral celo družino zlonamerne programske opreme. Analiza, ki jo je opravilo orodje, je raziskovalcu varnosti s sedežem v Melbournu pomagala ugotoviti razmerje med zlonamerno programsko opremo z oceno njihove podobnosti z obstoječo na podlagi zlonamerne kode in ugotoviti, ali je izbruh zlonamerne programske opreme imel povezave s prejšnjimi izbruhi. Vse to bi lahko napovedal s tabelarno prikazovanjem rezultatov analize in vizualizacijo programskih odnosov kot evolucijskega drevesa.
Kako deluje Simseer
Simseerju morate poslati arhiv Zip, ki vsebuje zlonamerno programsko opremo. Največja velikost datoteke na 100.000 bajtov. Vzorčno ime datoteke mora biti: alfanumerično ali pike in samo izvedljivi izvedbi PE-32 in ELF-32. Na dan je dovoljenih največ 20 predložitev.
Strežniki Simseer vzorce razvrstijo v grozde, nato pa neznani vzorec poiščejo na podobnosti z znanimi družinami zlonamerne programske opreme in prepoznajo nove. Nato na levi strani prikaže evolucijsko drevo, ki prikazuje razmerja med obstoječo in novo kodo. Bolj ko so programi v drevesu, tesneje so povezani in bodo verjetno pripadali isti družini. Novi sevi, če jih najdemo, so katalogizirani ločeno, če so manj kot 98% podobni obstoječim sevom.
Rezultat 1.0 pomeni, da so programi enaki. Rezultat 0.0 pomeni, da si programi sploh niso podobni. Programi, ki imajo podobnost večjo ali enako 0.60 je različic med seboj in v rezultatih označenih z zeleno. Čim svetlejša je zelena, tem bolj podobni so programi.
Za vzdrževanje zbirke podatkov Simseerja Cesare prenaša surovo kodo zlonamerne programske opreme iz odprtega omrežja za izmenjavo zlonamerne programske opreme VirusShare in drugih virov, v njegove algoritme pa se vsako noč vnese med 600 MB in 16 GB podatkov.
Prek AusCERT 2013.
