Simseer identifie les nouvelles souches de programmes malveillants par leur patrimoine
À de nombreuses reprises, les logiciels malveillants échappent à la détection par les moteurs d'analyse et s'en sortent indemnes en subissant un changement de structure et de comportement. Toutefois, cet attribut (lorsqu'il est présent dans de grands volumes) peut être utilisé pour déterminer le lien de filiation entre différents types de programmes malveillants et détecter de nouvelles souches. Une étude récente publiée par le chercheur en sécurité Silvio Cesare souligne que les souches de malware peuvent être identifiées par leur patrimoine. Le chercheur a développé un modèle appelé Simser capable d'identifier un logiciel plagié et d'établir une relation entre les logiciels malveillants.
Le site Web suit et catégorise l'héritage de différentes souches de programmes malveillants. Au moment de la recherche, Cesare s'est rendu compte que même des modifications modérées aux logiciels malveillants ne modifient pas les structures. Il a utilisé ce facteur comme modèle pour détecter des correspondances approximatives de logiciels malveillants et a sélectionné une famille complète de logiciels malveillants en fonction de cette structure. L'analyse effectuée par l'outil a aidé le chercheur en sécurité basé à Melbourne à déterminer la relation entre les logiciels malveillants en évaluant leur similarité avec les codes existants et à déterminer si une épidémie avait des liens avec des épidémies précédentes. Il pouvait prédire tout cela en totalisant les résultats de l'analyse et en visualisant les relations du programme comme un arbre évolutif..
Comment fonctionne Simseer
Vous devez soumettre une archive Zip contenant le logiciel malveillant à Simseer. La taille de fichier maximale par est de 100 000 octets. Le nom de fichier exemple doit être: alphanumérique ou points et uniquement les exécutables PE-32 et ELF-32. Un maximum de 20 soumissions est permis par jour.
Les serveurs Simseer regroupent les échantillons en clusters, puis analysent un échantillon inconnu afin de rechercher des similitudes avec les familles de programmes malveillants connues et d'identifier de nouveaux. Il affiche ensuite un arbre d'évolution à gauche, montrant les relations entre le code existant et le nouveau. Plus les programmes sont proches dans l’arbre, plus ils sont liés et appartiennent probablement à la même famille. Les nouvelles souches, si elles sont trouvées, sont cataloguées séparément lorsqu'elles ressemblent à moins de 98% aux souches existantes..
Un score de 1,0 signifie que les programmes sont identiques. Un score de 0,0 signifie que les programmes ne sont pas du tout similaires. Les programmes ayant une similarité supérieure ou égale à 0,60 sont des variantes les uns des autres et mis en évidence en vert dans les résultats. Plus le vert est brillant, plus les programmes sont similaires.
Pour gérer la base de données de Simseer, Cesare télécharge le code brut des programmes malveillants à partir du réseau de partage de logiciels malveillants VirusShare et d'autres sources, avec entre 600 et 16 Go de données introduites dans ses algorithmes chaque nuit..
Via AusCERT 2013.