Simseer xác định các chủng loại phần mềm độc hại mới theo di sản của họ

Mục lục:

Simseer xác định các chủng loại phần mềm độc hại mới theo di sản của họ
Simseer xác định các chủng loại phần mềm độc hại mới theo di sản của họ

Video: Simseer xác định các chủng loại phần mềm độc hại mới theo di sản của họ

Video: Simseer xác định các chủng loại phần mềm độc hại mới theo di sản của họ
Video: Chơi The Baby in Yellow Update Cập Nhật Những Thứ Đáng Sợ Hơn và Hé Lộ Câu Chuyện Phần Tiếp Theo ??? - YouTube 2024, Tháng Ba
Anonim

Trong nhiều trường hợp, phần mềm độc hại tránh bị phát hiện bằng cách quét các công cụ và thoát khỏi sự không bị tổn thương bằng cách trải qua thay đổi về cấu trúc và hành vi của nó. Tuy nhiên, một thuộc tính này (khi có khối lượng lớn) có thể được sử dụng để xác định mối liên hệ giữa các loại phần mềm độc hại khác nhau và phát hiện các chủng mới. Một nghiên cứu gần đây được công bố bởi nhà nghiên cứu bảo mật Silvio Cesare nhấn mạnh rằng các chủng phần mềm độc hại có thể được xác định bởi gia tài. Nhà nghiên cứu đã phát triển một mô hình gọi là Simseer có khả năng xác định phần mềm ăn cắp và thiết lập mối quan hệ giữa phần mềm độc hại.

Trang web theo dõi và phân loại di sản của các loại phần mềm độc hại khác nhau. Tại thời điểm nghiên cứu Cesare nhận ra rằng ngay cả những thay đổi vừa phải đối với phần mềm độc hại cũng không thay đổi cấu trúc. Ông đã sử dụng yếu tố này làm mô hình để phát hiện các phần mềm độc hại gần đúng và chọn toàn bộ phần mềm độc hại dựa trên cấu trúc đó. Phân tích được thực hiện bởi công cụ này đã giúp nhà nghiên cứu bảo mật dựa trên Melbourne xác định mối quan hệ giữa phần mềm độc hại bằng cách đánh giá sự tương đồng của chúng với mã độc và tìm xem liệu ổ dịch có phần mềm độc hại có liên quan đến các đợt bùng phát trước đó hay không. Ông có thể dự đoán tất cả điều này bằng cách lập bảng kết quả phân tích và hình dung mối quan hệ chương trình như một cây tiến hóa.
Trang web theo dõi và phân loại di sản của các loại phần mềm độc hại khác nhau. Tại thời điểm nghiên cứu Cesare nhận ra rằng ngay cả những thay đổi vừa phải đối với phần mềm độc hại cũng không thay đổi cấu trúc. Ông đã sử dụng yếu tố này làm mô hình để phát hiện các phần mềm độc hại gần đúng và chọn toàn bộ phần mềm độc hại dựa trên cấu trúc đó. Phân tích được thực hiện bởi công cụ này đã giúp nhà nghiên cứu bảo mật dựa trên Melbourne xác định mối quan hệ giữa phần mềm độc hại bằng cách đánh giá sự tương đồng của chúng với mã độc và tìm xem liệu ổ dịch có phần mềm độc hại có liên quan đến các đợt bùng phát trước đó hay không. Ông có thể dự đoán tất cả điều này bằng cách lập bảng kết quả phân tích và hình dung mối quan hệ chương trình như một cây tiến hóa.

Simseer hoạt động như thế nào

Bạn phải gửi một kho lưu trữ Zip chứa phần mềm độc hại cho Simseer. Kích thước tệp tối đa là 100.000 byte. Tên tệp mẫu phải là: chỉ có chữ và số hoặc dấu chấm và chỉ các tệp thực thi PE-32 và ELF-32. Tối đa 20 lần gửi được cho phép trong một ngày.

Các máy chủ Simseer nhóm các mẫu thành các cụm, sau đó quét một mẫu không xác định cho các điểm tương đồng với các gia đình phần mềm độc hại đã biết và xác định các mẫu mới. Sau đó nó sẽ hiển thị một cây tiến hóa ở bên trái, hiển thị các mối quan hệ giữa mã hiện tại và mã mới. Các chương trình gần gũi hơn nằm trong cây, chúng gần gũi hơn và có khả năng thuộc về cùng một gia đình. Các chủng mới, nếu tìm thấy được liệt kê riêng biệt khi chúng ít hơn 98% tương tự như một chủng hiện có.

Điểm 1.0 có nghĩa là các chương trình giống nhau. Điểm số là 0,0 có nghĩa là các chương trình không giống nhau. Các chương trình có mức tương tự lớn hơn hoặc bằng 0.60 là các biến thể của nhau và được tô sáng màu xanh lục trong kết quả. Màu xanh lá cây càng sáng, các chương trình càng giống nhau.
Điểm 1.0 có nghĩa là các chương trình giống nhau. Điểm số là 0,0 có nghĩa là các chương trình không giống nhau. Các chương trình có mức tương tự lớn hơn hoặc bằng 0.60 là các biến thể của nhau và được tô sáng màu xanh lục trong kết quả. Màu xanh lá cây càng sáng, các chương trình càng giống nhau.

Để duy trì cơ sở dữ liệu của Simseer, Cesare tải xuống mã phần mềm độc hại từ mạng chia sẻ phần mềm độc hại VirusShare và các nguồn khác, với từ 600MB đến 16GB dữ liệu được đưa vào thuật toán của anh mỗi đêm.

Qua AusCERT 2013.

Đề xuất: