Hardware-assisteret malware-analyse

Et teknisk papir med titlen "On the Feasibility of Malware Unpacking via Hardware-assisted Loop Profiling" blev offentliggjort af forskere ved Shandong University & Hubei Normal University, Tulane University og University of Texas i Arlington. Denne artikel blev inkluderet på det nylige 32. USENIX Security Symposium.

Abstrakt
"Hardware Performance Counters (HPC'er) er indbyggede registre af moderne processorer til at tælle forekomster af forskellige mikroarkitektoniske hændelser. Måling af HPCs værdier er en omkostningseffektiv måde at karakterisere dynamisk programadfærd på. På grund af brugervenligheden og de manipulationssikre fordele er brugen af ​​HPC'er kombineret med maskinlæringsmodeller til at løse sikkerhedsproblemer stigende i de senere år. Imidlertid er der på det seneste blevet sat spørgsmålstegn ved HPC'ers egnethed til sikkerhed i lyset af de ikke-deterministiske bekymringer: målefejl forårsaget af interrupt skid og tidsdelingsmultipleksing kan underminere effektiviteten af ​​at bruge HPC'er i sikkerhedsapplikationer.

Med disse advarsler i tankerne, udforsker vi måder at tæmme hardwarehændelsens ikke-deterministiske karakter for malware-udpakning, som er en langvarig udfordring i malware-analyse. Vores forskning er motiveret af to centrale observationer. For det første kan udpakningsprocessen, som involverer dyre gentagelser af dekryptering eller dekompression, medføre identificerbare afvigelser i hardwarehændelser. For det andet kan loop-centreret HPC'er-profilering minimere unøjagtighederne forårsaget af interrupt slip og time-division multiplexing. Derfor bruger vi to mekanismer, der tilbydes af Intel CPU'er (dvs. Precise Event-Based Sampling (PEBS) og Last Branch Record) til at udvikle en generisk, hardware-assisteret udpakningsteknik, kaldet LoopHPC'er. Det tilbyder en ny, obfuskations-resistent løsning til at identificere den originale kode fra flere "skrevet-derefter-udførte" lag. Vores kontrollerede eksperimenter viser, at LoopHPC'er kan opnå præcise og konsistente HPC-værdier på tværs af forskellige Intel CPU-arkitekturer og OS'er."

Find det tekniske papir og slides link.. Udgivet august 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang og Jiang Ming. "Om muligheden for udpakning af malware via hardware-assisteret sløjfeprofilering." I 32. USENIX Security Symposium (USENIX Security 23), s. 7481-7498. 2023.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://semiengineering.com/hardware-assisted-malware-analysis/