Phenquestions
Paljudel juhtudel hoidub pahavara mootorite tuvastamisest kõrvale ja pääseb kahjustamata, muutes selle struktuuri ja käitumist. Seda ühte atribuuti (kui see on suures koguses) saab kasutada seose kindlakstegemiseks erinevat tüüpi pahavara vahel ja uute tüvede tuvastamiseks. Turvalisuse uurija Silvio Cesare hiljuti avaldatud uuringus rõhutatakse, et pahavara tüvesid saab tuvastada nende järgi pärand. Teadlane töötas välja mudeli nimega Simseer võimeline tuvastama plagieeritud tarkvara ja tuvastama seose pahavara vahel.
Veebisait jälgib ja kategoriseerib erinevate pahavara tüvede pärandit. Uuringute ajal mõistis Cesare, et isegi mõõdukad pahavara muudatused ei muuda struktuure. Ta kasutas seda tegurit pahavara ligikaudsete vastete tuvastamise mudelina ja valis selle ühe struktuuri põhjal terve pahavara perekonna. Tööriista tehtud analüüs aitas Melbourne'is asuvatel turvauuringute uurijatel kindlaks teha seos pahavara vahel, hinnates nende sarnasust pahatahtliku koodi põhjal olemasolevaga ja tuvastades, kas pahavara puhangul oli seoseid varasemate puhangutega. Ta oskas seda kõike ennustada, analüüsitulemuste tabelisse märkides ja programmisuhted kui evolutsioonipuu visualiseerides.
Kuidas Simseer töötab
Peate Simseerile esitama pahavara sisaldava ZIP-arhiivi. Maksimaalne failisuurus on 100 000 baiti. Failinime näidis peab olema: tähtnumbriline või punkt ja ainult käivitatavad failid PE-32 ja ELF-32. Päevas on lubatud maksimaalselt 20 esitamist.
Simseeri serverid rühmitavad proovid klastriteks, seejärel otsivad tundmatu valimi sarnasusi teadaolevate pahavara perekondadega ja tuvastavad uued. Seejärel kuvatakse vasakul evolutsioonipuu, mis näitab seoseid olemasoleva ja uue koodi vahel. Mida lähemal on programmid puus, seda lähemal on need omavahel seotud ja tõenäoliselt kuuluvad samasse perekonda. Uued tüved, kui neid leitakse, liigitatakse eraldi, kui need on olemasoleva tüvega sarnased vähem kui 98%.
Hindeks 1.0 tähendab, et programmid on identsed. Hindeks 0.0 tähendab, et programmid pole üldse sarnased. Programmid, mille sarnasus on suurem või võrdne 0-ga.60 on üksteise variandid ja on tulemustes roheliselt esile tõstetud. Mida heledam on roheline, seda sarnasemad on programmid.
Simseeri andmebaasi pidamiseks laadib Cesare toorest pahavarakoodi alla avatud pahavara jagamise võrgustikust VirusShare ja muudest allikatest, kusjuures algoritmidesse sisestatakse igal õhtul 600–16 GB andmeid.
AusCERT 2013 kaudu.
