Phenquestions
Daugeliu atvejų kenkėjiška programa išvengia aptikimo nuskaitymo varikliuose ir ištrūksta nepažeista keisdama jos struktūrą ir elgseną. Tačiau šį vieną požymį (kai jo yra daug) galima naudoti norint nustatyti ryšį tarp skirtingų tipų kenkėjiškų programų ir aptikti naujas padermes. Neseniai paskelbtas saugumo tyrėjo Silvio Cesare'o tyrimas pabrėžia, kad kenkėjiškų programų atmainas galima atpažinti pagal jas paveldas. Tyrėjas sukūrė modelį, vadinamą „Simseer“ sugeba identifikuoti plagijuotą programinę įrangą ir nustatyti ryšį tarp kenkėjiškų programų.
Svetainėje stebimas ir skirstomas įvairių kenkėjiškų programų paveldas. Tyrimo metu Cesare'as suprato, kad net vidutiniai kenkėjiškų programų pakeitimai nepakeičia struktūros. Jis naudojo šį veiksnį kaip apytikslės kenkėjiškų programų atitikties nustatymo modelį ir, remdamasis šia viena struktūra, pasirinko visą kenkėjiškų programų šeimą. Įrankio atlikta analizė padėjo Melburno saugumo tyrėjui nustatyti ryšį tarp kenkėjiškų programų, įvertindama jų panašumą į esamas pagal kenkėjišką kodą ir nustatydama, ar kenkėjiškų programų protrūkis turėjo sąsajų su ankstesniais protrūkiais. Jis galėjo visa tai numatyti lentelėse pateikdamas analizės rezultatus ir vizualizuodamas programos santykius kaip evoliucijos medį.
Kaip veikia „Simseer“
„Simseer“ turite pateikti „Zip“ archyvą, kuriame yra kenkėjiška programa. Didžiausias failo dydis yra 100 000 baitų. Failo pavadinimo pavyzdys turi būti: raidiniai ir skaitmeniniai arba taškai ir tik vykdomieji failai PE-32 ir ELF-32. Per dieną leidžiama daugiausia 20 pateikimų.
„Simseer“ serveriai sugrupuoja mėginius į grupes, tada nuskaito nežinomą pavyzdį, ar nėra panašumų su žinomomis kenkėjiškų programų šeimomis, ir nustatytų naujas. Tada kairėje pusėje rodomas evoliucijos medis, rodantis ryšius tarp esamo ir naujo kodo. Kuo arčiau programos yra medyje, tuo arčiau jos yra susijusios ir greičiausiai priklauso tai pačiai šeimai. Naujos padermės, jei jų randama, yra kataloguojamos atskirai, kai jos yra mažiau nei 98% panašios į esamas padermes.
1 balas.0 reiškia, kad programos yra tapačios. 0 balų.0 reiškia, kad programos visai nėra panašios. Programos, kurių panašumas yra didesnis arba lygus 0.60 yra vienas kito variantai ir rezultatuose paryškinti žalia spalva. Kuo ryškesnė žalia spalva, tuo programos yra panašesnės.
Siekdamas išlaikyti „Simseer“ duomenų bazę, „Cesare“ atsisiunčia neapdorotų kenkėjiškų programų kodą iš atviro kenkėjiškų programų tinklo „VirusShare“ ir kitų šaltinių, kiekvieną vakarą į jo algoritmus įvedant 600–16 GB duomenų.
„AusCERT 2013“.
