image

Cloud-virusscanner herkent nieuwe malware aan 'DNA'

maandag 27 mei 2013, 16:16 door Redactie, 0 reacties

Traditionele anti-virusprogramma's zijn vaak geen partij voor polymorfische malware, maar een nieuwe experimentele virusscanner kan malware aan de hand van het 'DNA' van andere familieleden herkennen. Beveiligingsonderzoeker Silvio Cesare presenteerde tijdens de AusCERT 2013 conferentie zijn Simseer service, die terabytes aan malware dumps analyseerde.

De cloud-gebaseerde Simseer service kijkt niet naar malware op het zogeheten 'byte-niveau', maar naar kleine 'structuren' die in de kwaadaardige code aanwezig zijn, en door de malware-familie worden gedeeld. Malwaremakers wijzigen hun malware zodat virusscanners die niet detecteren, maar de structuren blijven ondanks deze aanpassingen relatief hetzelfde.

In sommige gevallen zou een complete malware-familie aan de hand van één structuur zijn te herkennen. Beveiligingsonderzoeker Silvio Cesare bracht de familielijnen van meer dan 50.000 malware-exemplaren in kaart, waardoor het ook mogelijk is om geheel nieuwe en onbekende exemplaren te detecteren.

Database
Om de Simseer database te onderhouden downloadt Cesare malware code van 'malware-sharing' netwerken zoals VirusShare en anderen. Elke nacht krijgt de database tussen de 600MB en 16GB aan data te verwerken. De cloud-scanner draait op een Amazon EC2 cluster met een dozijn virtuele servers.

De data wordt vervolgens geanalyseerd op overeenkomsten met bekende malware-families en om nieuwe families te identificeren. Nieuwe families worden alleen apart vermeld als ze voor minder dan 98% met een bekende familie overeenkomen. De dienst bevindt zich nog in de experimentele fase, maar Cesare hoopt dat het een belangrijk wapen in de strijd tegen malware wordt.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.