Phenquestions
À de nombreuses reprises, les logiciels malveillants échappent à la détection par les moteurs d'analyse et s'en sortent indemnes en subissant un changement dans sa structure et son comportement. Cependant, cet attribut (lorsqu'il est présent en grands volumes) peut être utilisé pour déterminer la relation entre différents types de logiciels malveillants et détecter de nouvelles souches. Une étude récente publiée par le chercheur en sécurité Silvio Cesare souligne que les souches de logiciels malveillants peuvent être identifiées par leur patrimoine. Le chercheur a développé un modèle appelé Simseer capable d'identifier un logiciel plagié et d'établir une relation entre les logiciels malveillants.
Le site Web suit et catégorise l'héritage des différentes souches de logiciels malveillants. Au moment de la recherche, Cesare s'est rendu compte que même des modifications modérées des logiciels malveillants ne modifient pas les structures. Il a utilisé ce facteur comme modèle pour détecter des correspondances approximatives de logiciels malveillants et a choisi toute une famille de logiciels malveillants en fonction de cette structure unique. L'analyse effectuée par l'outil a aidé le chercheur en sécurité basé à Melbourne à déterminer la relation entre les logiciels malveillants en évaluant leur similitude avec l'existant sur la base d'un code malveillant et à déterminer si une épidémie de logiciel malveillant avait des liens avec des épidémies précédentes. Il pouvait prédire tout cela en tabulant les résultats de l'analyse et en visualisant les relations du programme sous la forme d'un arbre évolutif.
Comment fonctionne Simseer
Vous devez soumettre une archive Zip contenant le malware à Simseer. La taille de fichier maximale par est de 100 000 octets. L'exemple de nom de fichier doit être : alphanumérique ou points et exécutables PE-32 et ELF-32 uniquement. Un maximum de 20 soumissions est autorisé par jour.
Les serveurs Simseer regroupent les échantillons en clusters, puis analysent un échantillon inconnu à la recherche de similitudes avec des familles de logiciels malveillants connues et pour en identifier de nouvelles. Il affiche ensuite un arbre évolutif sur la gauche, montrant les relations entre le code existant et le nouveau code. Plus les programmes sont proches dans l'arbre, plus ils sont liés et sont susceptibles d'appartenir à la même famille. Les nouvelles souches, si elles sont trouvées, sont cataloguées séparément lorsqu'elles sont à moins de 98 % similaires à une souche existante.
Une note de 1.0 signifie que les programmes sont identiques. Une note de 0.0 signifie que les programmes ne sont pas du tout similaires. Programmes qui ont une similarité supérieure ou égale à 0.60 sont des variantes les unes des autres et surlignées en vert dans les résultats. Plus le vert est clair, plus les programmes sont similaires.
Pour maintenir la base de données de Simseer, Cesare télécharge le code malveillant brut à partir du réseau ouvert de partage de logiciels malveillants VirusShare et d'autres sources, avec entre 600 Mo et 16 Go de données introduites dans ses algorithmes chaque nuit.
Via AusCERT 2013.
