Simseer identifica nuevas cepas de malware por su herencia

En muchas ocasiones, el malware se escapa de la detección mediante el análisis de los motores y escapa ileso al sufrir un cambio en su estructura y comportamiento. Sin embargo, este atributo (cuando está presente en grandes volúmenes) puede utilizarse para determinar la relación entre diferentes tipos de malware y detectar nuevas cepas. Un estudio reciente publicado por el investigador de seguridad Silvio Cesare hace hincapié en que las cepas de malware pueden identificarse por su patrimonio . El investigador desarrolló un modelo llamado Simseer capaz de identificar un software plagiado y establecer una relación entre malware.

Simseer identifica nuevas cepas de malware por su herencia 1

El sitio web rastrea y categoriza el patrimonio de diferentes tipos de malware. En el momento de la investigación, Cesare se dio cuenta de que incluso los cambios moderados en el malware no cambian las estructuras. Utilizó este factor como modelo para detectar coincidencias aproximadas de malware y elegir toda una familia de malware basada en esa única estructura. El análisis realizado por la herramienta ayudó al investigador de seguridad de Melbourne a determinar la relación entre el malware evaluando su similitud con el existente basándose en código malicioso y a determinar si un brote de malware tenía vínculos con brotes anteriores. Él podría predecir todo esto tabulando los resultados del análisis y visualizando las relaciones del programa como un árbol evolutivo.

Cómo funciona Simseer

Tienes que enviar un archivo Zip que contenga el malware a Simseer. El tamaño máximo por archivo es de 100.000 bytes. El nombre del archivo de ejemplo debe ser: alfanumérico o puntos y sólo ejecutables PE-32 y ELF-32. Se permite un máximo de 20 presentaciones en un día.

Los servidores Simseer agrupan las muestras en clusters y, a continuación, analizan una muestra desconocida en busca de similitudes con familias de malware conocidas e identifican otras nuevas. Luego muestra un árbol evolutivo a la izquierda, mostrando las relaciones entre el código existente y el nuevo. Cuanto más cerca estén los programas en el árbol, más cerca estarán de estar relacionados y es probable que pertenezcan a la misma familia. Las cepas nuevas, si se encuentran, se catalogan por separado cuando son menos del 98% similares a una cepa existente.

Simseer identifica nuevas cepas de malware por su herencia 1

Un puntaje de 1.0 significa que los programas son idénticos. Un puntaje de 0.0 significa que los programas no son similares en absoluto. Los programas que tienen una similitud mayor o igual a 0,60 son variantes entre sí y aparecen resaltados en verde en los resultados. Cuanto más brillante es el verde, más similares son los programas.

Para mantener la base de datos de Simseer, Cesare descarga código malicioso crudo de la red abierta de distribución de malware VirusShare y otras fuentes, con entre 600MB y 16GB de datos introducidos en sus algoritmos cada noche.

ViaAusCERT 2013 .

Contenido Relacionado

Deja un comentario