Simseer tunnistaa uusia haittaohjelmien kantoja niiden perintöä

Video: Simseer tunnistaa uusia haittaohjelmien kantoja niiden perintöä

Video: 20 Amp Battery Charger with Computer Power Supply - 220v AC to 1.5v / 3v / 6v / 9v / 12v / 24v DC - YouTube 2024, Marraskuu

2024 Kirjoittaja: Geoffrey Carr | [email protected]. Viimeksi muokattu: 2023-12-17 10:56

Useissa tapauksissa haittaohjelmat estävät havaitsemisen skannaamalla moottoreita ja menemättä vahingoittumatta muuttamalla sen rakennetta ja käyttäytymistä. Tätä attribuuttia (kun sitä esiintyy suurissa määrissä) voidaan kuitenkin käyttää eri tyyppisten haittaohjelmien etsimiseen ja uusien kantojen havaitsemiseen. Turvallisuustutkijan Silvio Cesaren julkaisemassa viimeaikaisessa tutkimuksessa korostetaan, että haittaohjelmien kantoja voidaan tunnistaa perintö. Tutkija kehitti mallin nimeltä Simseer kykenevä tunnistamaan plagioitu ohjelmisto ja luoda haittaohjelmien välinen suhde.

Sivusto seuraa ja luokittelee erilaisten haittaohjelmien kantojen perintöä. Tutkimuksen aikaan Cesare tajusi, että haittaohjelmien maltilliset muutokset eivät muuta rakenteita. Hän käytti tätä tekijää mallina haittaohjelmien likimääräisten vastaavuuksien havaitsemiseen ja poimii koko haittaohjelmien perheen, joka perustuu kyseiseen rakenteeseen. Työkalulla tehty analyysi auttoi Melbourne-pohjaisen tietoturva-tutkijan määrittämään haittaohjelmien välisen suhteen arvioimalla niiden samankaltaisuuden olemassaolon perusteella haitallisen koodin perusteella ja selvittämällä, onko haittaohjelmien puhkeaminen yhteydessä aiempiin tautipesäkkeisiin. Hän pystyi ennustamaan tämän kaiken näyttämällä analyysitulokset ja visualisoimalla ohjelmasuhteet evoluution puuksi.

Miten Simseer toimii

Sinun on lähetettävä haittaohjelmalle sisältävä Zip-arkisto Simseerille. Maksimikoko on 100 000 tavua. Näytteen tiedostonimen on oltava aakkosnumeerinen tai jaksoja ja vain PE-32 ja ELF-32-suoritustiedostoja. Enintään 20 hakemusta voidaan sallia päivässä.

Simseer-palvelimet ryhmittävät näytteet klustereiksi, sitten tutustu tuntemattomaan näytteeseen tunnettujen malwareperheiden samankaltaisuudesta ja tunnista uusia. Sen jälkeen näkyy vasemmalla oleva evoluutiopuu, jossa näkyy olemassa olevan ja uuden koodin väliset suhteet. Mitä lähempänä ohjelmia puussa on, sitä lähempänä ne ovat läheisiä ja todennäköisesti kuuluvat samaan perheeseen. Uusia kantoja, jos niitä löydetään, luetteloidaan erikseen, kun ne ovat alle 98 prosenttia samanlaisia kuin olemassa oleva kanta.

Pisteet 1,0 tarkoittaa, että ohjelmat ovat identtisiä. Pisteet 0,0 tarkoittaa, että ohjelmat eivät ole lainkaan samanlaisia. Ohjelmat, joiden samankaltaisuus on suurempi tai yhtä suuri kuin 0,60, ovat toistensa muunnelmia ja korostaneet vihreää tuloksissa. Mitä kirkkaampi vihreä, sitä enemmän ohjelmat ovat.

Simseer-tietokannan ylläpitämiseksi Cesare lataa raakamaksaohjelmakoodin avoimelta haittaohjelmien jakamisverkolta VirusShare ja muilta lähteiltään, jotka sisältävät 600- 16 Gt: n tietoja algoritmeihin joka ilta.

Via AusCERT 2013.

Suositeltava:

Pysäytä tiedostojen valitsimien käyttäminen - Vedä ja pudota tiedostoja niiden lataamiseen

Joka kerta, kun näen jonkun, joka käyttää tiedostojen valitsinta tiedostojen valitsemiseen, ravistelemaan päätäni. Siellä on paljon yksinkertaisempi tapa tehdä se - vedä ja pudota se latauslomakkeeseen. Tämä toimii hyvin miltei kaikilla sosiaalisen median sivustoilla, mutta se toimii jopa vanhan koulun muodoissa.

Käyttäjätilit, ryhmät, käyttöoikeudet ja niiden rooli jakamisessa

Tämä How-To Geek School -luokka on tarkoitettu ihmisille, joilla on oma kotiverkko vähintään yhdellä Windows-tietokoneella tai laitteella. Päätavoite on tarjota sinulle tarvittava tietämys Windowsin jakamiseen ja tiedostojen, kansioiden ja laitteiden jakamiseen muiden tietokoneiden tai laitteiden kanssa kotiverkossa käyttöjärjestelmästä riippumatta.