Laitteistoavusteinen haittaohjelmaanalyysi

Shandongin yliopiston & Hubei Normal Universityn, Tulane Universityn ja Texasin yliopiston Arlingtonissa tutkijat julkaisivat teknisen asiakirjan "On the Feasibility of Haittaohjelmien purkaminen laitteisto-avusteisen silmukkaprofiloinnin kautta". Tämä asiakirja sisällytettiin äskettäin 32. USENIX Security Symposiumiin.

Abstrakti
"Hardware Performance Counters (HPC:t) ovat nykyaikaisten prosessorien sisäänrakennettuja rekistereitä, jotka laskevat erilaisten mikroarkkitehtuuritapahtumien esiintymät. HPC-arvojen mittaaminen on kustannustehokas tapa luonnehtia dynaamisten ohjelmien käyttäytymistä. Helppokäyttöisyyden ja luvattomien etujen vuoksi HPC:iden käyttö yhdessä koneoppimismallien kanssa tietoturvaongelmien ratkaisemiseksi on yleistynyt viime vuosina. Viime aikoina HPC:iden soveltuvuutta turvallisuuteen on kuitenkin kyseenalaistettu epädeterminismihuolien valossa: keskeytysluiston ja aikajakoisen multipleksoinnin aiheuttamat mittausvirheet voivat heikentää HPC:iden käytön tehokkuutta tietoturvasovelluksissa.

Nämä varoitukset mielessämme tutkimme tapoja kesyttää laitteistotapahtuman epädeterminismia haittaohjelmien purkamisessa, mikä on pitkäaikainen haaste haittaohjelmien analysoinnissa. Tutkimuksemme perustuu kahteen keskeiseen havaintoon. Ensinnäkin purkuprosessi, joka sisältää kalliita salauksen tai purkamisen iteraatioita, voi aiheuttaa tunnistettavia poikkeamia laitteistotapahtumissa. Toiseksi silmukkakeskeinen HPC-profilointi voi minimoida keskeytysluiston ja aikajakoisen multipleksoinnin aiheuttamat epätarkkuudet. Siksi hyödynnämme kahta Intel-suorittimien tarjoamaa mekanismia (ts. Precise Event-Based Sampling (PEBS) ja Last Branch Record) kehittääksemme yleisen, laitteisto-avusteisen purkutekniikan, nimeltä LoopHPC. Se tarjoaa uuden, hämärtymistä kestävän ratkaisun alkuperäisen koodin tunnistamiseen useista "kirjoitettu ja sitten suoritettu" -tasoista. Kontrolloidut kokeemme osoittavat, että LoopHPC:t voivat saada tarkkoja ja yhdenmukaisia ​​HPC-arvoja Intelin eri prosessoriarkkitehtuureissa ja käyttöjärjestelmissä."

Etsi tekninen paperi ja diat tätä. Julkaistu elokuussa 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang ja Jiang Ming. "Haittaohjelmien purkamisen toteutettavuudesta laitteisto-avusteisen silmukkaprofiloinnin avulla." 32. USENIX Security Symposiumissa (USENIX Security 23), s. 7481-7498. 2023.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://semiengineering.com/hardware-assisted-malware-analysis/