Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares

Abstract

Given the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same family

Dado o crescimento exponencial na propagação de vírus pela rede mundial de computadores (Internet) e o aumento de sua complexidade, faz-se necessária a adoção de sistemas mais complexos para a extração de assinaturas de malwares (assinatura de malwares-malicious software; é o nome dado a extração de informações únicas que levam a identificação do vírus, equivalente, aos humanos, a impressão digital). A arquitetura e o protocolo aqui propostos têm como objetivo tornar mais eficientes as assinaturas, através de técnicas que tornem suficiente uma única extração para comprometer todo um grupo de vírus. Essa eficiência se dá pela utilização de uma abordagem híbrida de extração de assinaturas, levando-se em consideração a análise do código e do comportamento do sample, assim também chamado um vírus. Os principais alvos desse sistema proposto são Polymorphics e Metamorphics Malwares, dada a dificuldade em se criar assinaturas que identifiquem toda uma família proveniente desses vírus. Tal dificuldade é criada pelo uso de técnicas que possuem como principal objetivo comprometer análises realizadas por especialistas. Os parâmetros escolhidos para realizar a análise comportamental são: Sistema de Arquivos; Registros do Windows; Dump da RAM e chamadas a API. Quanto à análise do código, o objetivo é realizar, no binário do vírus, divisões em blocos, onde é possível a extração de hashes. Essa técnica considera a instrução ali presente e sua vizinhança, sendo caracterizada como precisa. Em suma, com essas informações pretende-se prever e traçar um perfil de ação do vírus e, posteriormente, criar uma assinatura baseada no grau de parentesco entre eles (threshold), cujo objetivo é o aumento da capacidade de detecção de vírus que não façam parte da mesma família