我的殺毒軟件直接掃描電磁波，查木馬準確率99.82%

我們總是說(shuō)，物聯(lián)網(wǎng)設備的網(wǎng)絡(luò )安全難以保證，現在有人用「降維打擊」的辦法作了安排。

物聯(lián)網(wǎng) (IoT) 是由數量和復雜性呈指數增長(cháng)的設備組成的，在使用大量定制的固件和硬件的同時(shí)，制造者卻很難全面地考慮到安全問(wèn)題，這使 IoT 很容易成為網(wǎng)絡(luò )犯罪的目標，尤其是那些惡意軟件攻擊。

當前，世界上的許多大型企業(yè)都在努力應對日益廣泛和復雜的惡意軟件攻擊。但一種有趣的新惡意軟件檢測技術(shù)，可以幫助企業(yè)在不需要任何軟件的情況下鏟除這些威脅。

來(lái)自法國計算機科學(xué)與隨機系統研究所的研究團隊創(chuàng )建了一個(gè)以樹(shù)莓派為中心的反惡意軟件系統，該系統可以?huà)呙柙O備中的電磁波來(lái)檢測惡意軟件。

論文鏈接：https://hal.archives-ouvertes.fr/hal-03374399/document

該安全設備使用示波器 (Picoscope 6407) 和連接到 Raspberry Pi 2B 的 H-Field 探頭來(lái)檢測受到攻擊的計算機發(fā)出的特定電磁波中的異常情況。研究人員稱(chēng)使用了這種技術(shù)「獲得有關(guān)惡意軟件類(lèi)型和身份的準確信息?！谷缓?，檢測系統依靠卷積神經(jīng)網(wǎng)絡(luò ) (CNN) 來(lái)確定收集的數據是否表明存在威脅。

憑借這種技術(shù)，研究人員聲稱(chēng)他們可以記錄被真正惡意軟件樣本感染的物聯(lián)網(wǎng)設備的 100000 條測量軌跡，并以高達 99.82% 的準確率預測了三種通用和一種良性惡意軟件的類(lèi)別。

最重要的是，這種檢測技術(shù)并不需要任何軟件，正在被掃描的設備也不需要以任何方式進(jìn)行操作。因此，攻擊方嘗試使用混淆技術(shù)隱藏惡意代碼是不可行的。

「我們的方法不需要對目標設備進(jìn)行任何修改。因此，它可以獨立于可用資源進(jìn)行部署，而無(wú)需任何開(kāi)銷(xiāo)。此外，這種方法的優(yōu)點(diǎn)在于，惡意軟件作者幾乎無(wú)法檢測和規避它?！寡芯咳藛T在論文中寫(xiě)道。

該系統僅為研究目的而設計的，而不是作為商業(yè)產(chǎn)品發(fā)布，它可能會(huì )激發(fā)更多安全團隊研究使用電磁波檢測惡意軟件的新方式。研究目前處于早期階段，神經(jīng)網(wǎng)絡(luò )需要進(jìn)一步訓練才能有實(shí)際用途。

一定意義上說(shuō)，這種系統也是一種保護設備的獨特方法，它使惡意軟件的作者難以隱藏代碼，但該技術(shù)遠未向公眾提供。

從樹(shù)莓派的價(jià)格上考慮，這可能是一種檢測惡意軟件的低成本方法，而其他電磁波掃描設備的成本高達數千美元。盡管存在局限性，但從另一個(gè)角度看，這種簡(jiǎn)潔的設置有朝一日也許能幫助設備免受大型攻擊。

研究細節

團隊提出了一個(gè)惡意軟件的分類(lèi)框架，該框架以可執行文件作為輸入，僅依靠電磁波側信道信息輸出其預測標簽。

圖 1 展示了該工作流：首先，研究者定義了威脅模型，當惡意軟件在目標設備上運行時(shí)，收集電磁波****信息。他們搭建了一個(gè)基礎設施，能夠運行惡意軟件與一個(gè)現實(shí)的用戶(hù)環(huán)境，同時(shí)防止感染主機控制器系統。然后，由于采集的數據非常嘈雜，需要進(jìn)行預處理步驟來(lái)隔離相關(guān)的信息信號。最后，使用這個(gè)輸出，研究者訓練了神經(jīng)網(wǎng)絡(luò )模型和機器學(xué)習算法，以便分類(lèi)惡意軟件類(lèi)型、二進(jìn)制文件、混淆方法，并檢測一個(gè)可執行文件是否打包。

實(shí)驗及結果

該研究實(shí)驗的第一步是數據采集。

首先目標設備的選擇對于 EM 側信道分析至關(guān)重要。研究者確立了三個(gè)主要要求：

它必須是多用途嵌入式設備，以盡可能多地支持收集到的惡意軟件，而不是一組特定的惡意軟件或設備；

它的 CPU 必須具備突出的架構，以避免缺乏對新型 IoT 惡意軟件的支持； 

它必須容易受到 EM 側信道攻擊。

該研究最終選擇 Raspberry Pi 2B 作為具有 900 MHz 四核 ARM Cortex-A7、1 GB 內存的目標設備。

為了支持惡意軟件數據集（包括 Mirai 和 Bashlite），該研究實(shí)現了中心惡意 C&C 服務(wù)器模型的合成環(huán)境。如下圖 2 所示，在多種攻擊場(chǎng)景下，采用 C&C 服務(wù)器隨機向僵尸網(wǎng)絡(luò )客戶(hù)端下發(fā)不同的命令。

在電磁信號采集方面，該研究使用中低檔測量設置在良性和惡意數據集的執行下監控樹(shù)莓派。如下圖 3 所示，它由連接到 H - 場(chǎng)探頭（Langer RF-R 0.3-3）的 1GHz 帶寬示波器（Picoscope 6407）組成，其中使用 Langer PA-303 +30dB 放大 EM 信號。為了捕捉惡意軟件的長(cháng)時(shí)間執行，以 2MHz 的采樣率對信號進(jìn)行采樣。

頻譜圖上 NICV 的特征選擇過(guò)程如下圖 4 所示。

實(shí)驗結果如表 3 所示。第一列為方案的名稱(chēng)，第二列陳述了網(wǎng)絡(luò )的輸出數量(類(lèi))，其他列顯示了最佳帶寬數量的準確性和兩個(gè)神經(jīng)網(wǎng)絡(luò )模型的準確率和召回率，以及測試數據集上的兩個(gè)機器學(xué)習算法。

分類(lèi)。研究者共使用了在 30 個(gè)惡意軟件樣本活動(dòng)期間測量的痕跡，加上良性活動(dòng) (隨機、視頻、音樂(lè )、圖片、相機活動(dòng)) 的痕跡，為了規避偏見(jiàn)，這兩種活動(dòng)都是在隨機用戶(hù)環(huán)境中進(jìn)行的。

惡意軟件二進(jìn)制代碼是五個(gè)族的變體: gonnacry、 keysniffer、 maK it、 mirai 和 bashlite，包括七種不同的混淆技術(shù)。

在這種情況下，研究者目標是在錄入時(shí)檢索感染設備的惡意軟件類(lèi)型。這里涉及一個(gè) 4 級分類(lèi)問(wèn)題: 勒索軟件、 rootkit、 DDoS 和良性。所有的模型對于這個(gè)問(wèn)題都是非常有效的(> 98% 的準確率) ，顯然混淆不妨礙類(lèi)型分類(lèi)。

可以觀(guān)察到，CNN (99.82%)比 MLP、 NB 和 SVM 略準確一些。圖 5(a)中顯示了每個(gè)執行的二進(jìn)制混淆矩陣的預測類(lèi) (預測標簽)。顏色越深，正確預測的標簽比例越高。良性的 rootkit 類(lèi)與任何其他類(lèi)之間沒(méi)有混淆，雙向的 DDos 和勒索軟件之間有一點(diǎn)混淆?；煜仃嚾鐖D 5(b) 所示，它表明大部分類(lèi)型都可被正確分類(lèi)，并且混淆不會(huì )妨礙分類(lèi)。圖 5(c)顯示出對于每種混淆技術(shù)，CNN 都能預測正確的分類(lèi)標簽。

該研究表明，通過(guò)使用簡(jiǎn)單的神經(jīng)網(wǎng)絡(luò )模型，可以通過(guò)僅觀(guān)察其 EM 輻射來(lái)了解受監控設備的狀態(tài)，并且可以確定攻擊樹(shù)莓派（運行 Linux OS）的惡意軟件類(lèi)型，在測試數據集上準確率達 99.89%。此外，該研究還證明軟件混淆技術(shù)不會(huì )妨礙其分類(lèi)方法。這項工作開(kāi)啟了通過(guò)電磁輻射進(jìn)行行為分析的新方向。

參考鏈接：

https://gizmodo.com/raspberry-pi-can-detect-malware-by-scanning-for-electro-1848339130