Detección de malware evasivo mediante emanaciones electromagnéticas

Los investigadores de ciberseguridad han propuesto un enfoque novedoso que aprovecha las emanaciones de campos electromagnéticos de los dispositivos de Internet de las cosas (IoT) como un canal lateral para obtener conocimientos precisos sobre los diferentes tipos de malware que se dirigen a los sistemas integrados, incluso en escenarios donde se han aplicado técnicas de ofuscación. obstaculizar el análisis.

Con la rápida adopción de dispositivos de IoT que presentan una superficie de ataque atractiva para los actores de amenazas, en parte debido a que están equipados con una mayor potencia de procesamiento y son capaces de ejecutar sistemas operativos completamente funcionales, la última investigación tiene como objetivo mejorar el análisis de malware para mitigar los posibles riesgos de seguridad.

Los hallazgos fueron presentados por un grupo de académicos del Instituto de Investigación en Ciencias de la Computación y Sistemas Aleatorios (IRISA) en la Conferencia Anual de Aplicaciones de Seguridad Informática ( ACSAC ) celebrada el mes pasado.

"La emanación [electromagnética] que se mide desde el dispositivo es prácticamente indetectable por el malware", dijeron los investigadores Duy-Phuc Pham , Damien Marion, Matthieu Mastio y Annelie Heuser en un artículo. "Por lo tanto, las técnicas de evasión de malware no se pueden aplicar directamente a diferencia del monitoreo dinámico de software. Además, dado que un malware no tiene control en el nivel de hardware externo, un sistema de protección que se basa en características de hardware no se puede eliminar, incluso si el malware posee el privilegio máximo en la máquina ".

El objetivo es aprovechar la información del canal lateral para detectar anomalías en las emanaciones cuando se desvían de los patrones observados anteriormente y generar una alerta cuando se registra un comportamiento sospechoso que emula el malware en comparación con el estado normal del sistema.

Esto no solo no requiere modificaciones en los dispositivos de destino, el marco ideado en el estudio permite la detección y clasificación de malware sigiloso, como rootkits a nivel de kernel, ransomware y botnets distribuidas de denegación de servicio (DDoS) como Mirai, contando variantes invisibles.


El enfoque de canal lateral, que se desarrolla en tres fases, implica medir las emanaciones electromagnéticas al ejecutar 30 binarios de malware diferentes, así como realizar actividades benignas relacionadas con videos, música, imágenes y cámaras para entrenar un modelo de red neuronal convolucional ( CNN ) para clasificar real- muestras de malware del mundo. Específicamente, el marco toma como entrada un ejecutable y genera su etiqueta de malware basándose únicamente en la información del canal lateral.

En una configuración experimental , los investigadores optaron por una Raspberry Pi 2B como dispositivo de destino con procesador ARM Cortex A7 de cuatro núcleos a 900 MHz y 1 GB de memoria, con las señales electromagnéticas adquiridas y amplificadas mediante una combinación de un osciloscopio y un PA 303 BNC. preamplificador, que predice eficazmente los tres tipos de malware y sus familias asociadas con una precisión del 99,82% y el 99,61%.

"[Por] medio del uso de modelos simples de redes neuronales, es posible obtener información considerable sobre el estado de un dispositivo monitoreado, observando únicamente sus emanaciones [electromagnéticas]", concluyeron los investigadores. "Nuestro sistema es robusto contra diversas transformaciones / ofuscaciones de código, incluida la inserción, el empaquetado y la virtualización de basura aleatoria, incluso cuando el sistema no conoce previamente la transformación".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta