法國研究實驗室IRISA的安全研究人員的最新研究表明���,可以通過記錄分析電磁(EM)輻射來檢測和識別物聯(lián)網(wǎng)設(shè)備上運行的惡意軟件���。
這種新穎的惡意軟件檢測方法有一個非常棒的優(yōu)點:無需在受監(jiān)控的設(shè)備上安裝掃描軟件,這意味著惡意軟件幾乎無法感知和逃避檢測活動��。
“此外�,由于惡意軟件無法控制外部硬件或物理事件(例如電磁輻射、散熱)����,因此即使惡意軟件擁有設(shè)備的最高權(quán)限,也無法關(guān)閉依賴硬件功能的外部電磁分析檢測系統(tǒng)���。電磁輻射還能檢測到隱蔽的惡意軟件(例如內(nèi)核級rootkit)�����,這些惡意軟件能夠阻止傳統(tǒng)的基于軟件的分析方法��。”研究人員指出�。
電磁分析檢測另一個優(yōu)點是監(jiān)控EM輻射不需要對目標(biāo)設(shè)備進(jìn)行任何修改,這意味著該方法不依賴于特定的設(shè)備架構(gòu)���、操作系統(tǒng)或計算能力�。
一種檢測物聯(lián)網(wǎng)惡意軟件的新方法
為了測試他們的方法�,研究人員選擇了一臺Raspberry Pi單片機(jī)作為目標(biāo)設(shè)備(題圖),并使用示波器和H-field探頭在惡意軟件和良性應(yīng)用程序(使用不同的混淆方法)執(zhí)行期間采集其EM輻射信號�。
電磁輻射信號采集中生成了數(shù)以萬計的頻譜圖,被用于訓(xùn)練多個機(jī)器學(xué)習(xí)模型來分類惡意軟件�����。
惡意軟件分類框架
“惡意軟件二進(jìn)制文件是五個系列的變體:gongcry�、keysniffer、maK_It���、mirai和bashlite���,包括七種不同的混淆技術(shù)。”研究人員分享道�。
測試的目標(biāo)是檢驗?zāi)P湍芊駥?zhí)行的二進(jìn)制文件正確分類到以下四個類別:勒索軟件、rootkit��、DDoS和良性。事實證明���,所有模型都被證明在這方面非常有效(>98%準(zhǔn)確率),尤其是卷積神經(jīng)網(wǎng)絡(luò)(CNN)(99.82%的準(zhǔn)確率)���,不但能準(zhǔn)確分類��,還能準(zhǔn)確識別真實的惡意軟件家族����。
惡意軟件分析師的福音
物聯(lián)網(wǎng)(IoT)設(shè)備的激增的趨勢仍將持續(xù)��,其中一些設(shè)備擁有強(qiáng)大的處理能力和具有多核處理器的操作系統(tǒng)�,這意味著它們很可能面臨與通用計算機(jī)類似的安全威脅。但業(yè)界目前針對物聯(lián)網(wǎng)的惡意軟件檢測解決方案仍不夠成熟�����。
基于電磁輻射分析的解決方案可能對惡意軟件分析師特別有用���,因為它能夠檢測新的惡意軟件����,無論惡意軟件開發(fā)者使用何種混淆技術(shù)都難以逃避檢測。
“新的物聯(lián)網(wǎng)惡意軟件雖然可以避開以前的解決方案��,例如基于簽名的加殼檢測��,但測試結(jié)果表明�����,僅憑借基于電磁輻射分析的跟蹤技術(shù)來區(qū)分混淆技術(shù)�,這為分析物聯(lián)網(wǎng)惡意軟件的演變提供了機(jī)會,因為新的混淆技術(shù)將能夠繞過或阻止(傳統(tǒng))檢測�。”研究者指出。
“根據(jù)我們的實驗結(jié)果����,惡意軟件分析師將從電磁輻射分析方法中獲益,以更好地了解惡意軟件組和活動的變體�����、類型/系列�����、取證和/或演變����,特別是在軟件系統(tǒng)失敗的情況下(由于惡意軟件規(guī)避)或傳統(tǒng)檢測不適用的場景(由于嵌入式設(shè)備上的資源或更新過程受限)�����。”
論文地址:
https://team.inria.fr/cidre/files/2021/09/duy-phuc_pham.pdf
文章來源:GoUpSec
在線咨詢
在線咨詢
0371-63319761