ハードウェア支援によるマルウェア分析

「ハードウェア支援ループプロファイリングによるマルウェア解凍の実現可能性について」というタイトルの技術論文が、山東大学と湖北師範大学、チューレーン大学、テキサス大学アーリントン校の研究者によって発表されました。 この文書は、最近の第 32 回 USENIX セキュリティ シンポジウムに掲載されました。

抽象
「ハードウェア パフォーマンス カウンター (HPC) は、さまざまなマイクロ アーキテクチャ イベントの発生をカウントするための最新のプロセッサーに組み込まれたレジスタです。 HPC 値の測定は、動的プログラムの動作を特徴付けるためのコスト効率の高い方法です。 使いやすさと改ざん耐性の利点により、セキュリティ問題に対処するために HPC を機械学習モデルと組み合わせて使用​​することが近年増加しています。 しかし、最近では、非決定論的な懸念を考慮して、セキュリティに対する HPC の適合性が疑問視されています。割り込みスキッドや時分割多重化によって引き起こされる測定エラーは、セキュリティ アプリケーションで HPC を使用する有効性を損なう可能性があります。

これらの注意を念頭に置き、マルウェア分析における長年の課題であるマルウェアの解凍において、ハードウェア イベントの非決定性の性質を制御する方法を検討します。 私たちの研究は XNUMX つの重要な観察によって動機付けられています。 まず、解凍プロセスでは、高価な復号化または圧縮解除の繰り返しが必要となり、ハードウェア イベントに識別可能な逸脱が発生する可能性があります。 第 XNUMX に、ループ中心の HPC プロファイリングにより、割り込みスキッドと時分割多重化によって生じる不正確さを最小限に抑えることができます。 したがって、インテル CPU が提供する XNUMX つのメカニズム (つまり、正確なイベントベース サンプリング (PEBS) と最終ブランチ レコード) を利用して、LoopHPC と呼ばれる汎用のハードウェア支援アンパッキング技術を開発します。 これは、複数の「書き込まれてから実行される」レイヤーから元のコードを識別する、難読化に強い新しいソリューションを提供します。 私たちの管理された実験では、LoopHPC がさまざまなインテル CPU アーキテクチャおよび OS にわたって正確で一貫した HPC 値を取得できることが実証されています。」

技術論文とスライドを見つける こちら. 2023 年 XNUMX 月公開。

Cheng、Binlin、Erika A. Leal、Haotian Zhang、Jiang Ming。 「ハードウェア支援ループプロファイリングによるマルウェア解凍の実現可能性について」 第 32 回 USENIX セキュリティ シンポジウム (USENIX Security 23)、7481 ～ 7498 ページ。 2023年。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://semiengineering.com/hardware-assisted-malware-analysis/