Các chuyên gia an ninh mạng đã đề xuất một cách tiếp cận mới bằng cách khai thác trường điện từ phát ra từ các thiết bị Internet of Things (IoT) như một kênh bên để thu thập kiến thức chính xác về các loại mã độc khác nhau nhắm vào các hệ thống nhúng, ngay cả trong các tình huống mà kỹ thuật obfuscation đã được áp dụng để cản trở việc phân tích.
Với việc các thiết bị IoT đang ngày càng được sử dụng phổ biến, các thiết bị này cũng trở thành một mục tiêu tấn công của các hacker, một phần do chúng được trang bị với năng lực xử lý mạnh hơn và cũng có thể chạy các hệ điều hành với đầy đủ chức năng. Các nghiên cứu mới nhất luôn nhắm tới việc cải thiện khả năng phân tích malware nhằm giảm thiểu rủi ro về bảo mật.
Các phát hiện được trình bày bởi một nhóm học giả từ Viện Nghiên cứu Khoa học Máy tính và Hệ thống Ngẫu nhiên (IRISA) tại Hội nghị Ứng dụng Bảo mật Máy tính Thường niên (ACSAC) được tổ chức vào tháng trước.
Các chuyên gia Duy-Phuc Pham, Damien Marion, Matthieu Mastio và Annelie Heuser cho biết trong một nghiên cứu rằng: “Trên thực tế, Malware không thể phát hiện điện từ đo bằng thiết bị. Vì vậy, khác với việc giám sát phần mềm động, chúng ta không thể áp dụng các kỹ thuật trốn tránh của malware một cách trực tiếp. . Ngoài ra, vì malware không có quyền kiểm soát ở cấp độ phần cứng, một hệ thống bảo vệ dựa vào phần cứng không thể bị đánh sập, ngay cả khi malware sở hữu tối đa đặc quyền trên máy’.
Mục đích của việc này là để lợi dụng các kênh thông tin bên ngoài nhằm phát hiện các điểm bất thường của sóng điện từ khi chúng thay đổi so với các mẫu đã được theo dõi trước đó. Qua đó phát ra cảnh báo khi có hành vi đáng nghi liên quan tới mã độc được ghi nhận so với trạng thái bình thường của hệ thống.
Điều này không chỉ không yêu cầu sửa đổi trên các thiết bị, khung nghiên cứu còn cho phép phát hiện và phân loại các loại mã độc ngầm như rootkits cấp độ kernel, ransomware và các botnet tấn công từ chối dịch vụ (DDoS) như Mirai, bao gồm cả các biến thể chưa được phát hiện.
Cách tiếp cận từ kênh bên diễn ra trong ba giai đoạn, bao gồm việc đo lường sự phát xạ điện từ khi thực thi 30 mã nhị phân malware khác nhau cũng như thực hiện các hoạt động lành tính liên quan đến video, nhạc, hình ảnh và máy ảnh để đào tạo một mô hình mạng nơ-ron phức hợp (CNN) nhằm phân loại các mẫu malware ngoài đời thực. Cụ thể thì khuôn mẫu coi đầu vào là một tệp thực thi (executable) và phân loại mã độc chỉ dựa vào thông tin từ kênh phụ.
Trong một thử nghiệm, các nhà nghiên cứu đã chọn Raspberry Pi 2B làm thiết bị mục tiêu với bộ xử lý ARM Cortex A7 4 lõi 900 MHz và bộ nhớ 1 GB, với các tín hiệu điện từ được thu thập và khuếch đại bằng cách sử dụng kết hợp máy hiện sóng và bộ tiền khuếch đại PA 303 BNC. Kết quả dự đoán hiệu quả ba loại mã độc và các mã độc liên quan của chúng với độ chính xác lần lượt là 99,82% và 99,61%.
Các chuyên gia đưa ra kết luận rằng: “Bằng cách sử dụng các mô hình mạng nơ-ron đơn giản, chúng ta có thể thu được thông tin đáng kể về trạng thái của một thiết bị được giám sát, bằng cách chỉ quan sát sự phát xạ điện từ của nó. Hệ thống của chúng tôi chống lại nhiều biến đổi, xáo trộn mã khác nhau, bao gồm chèn rác ngẫu nhiên, sự hợp lại (packing) và ảo hóa (virturalization), ngay cả khi hệ thống không biết đến việc chuyển đổi trước đó.”
Theo Thehackernews