하드웨어 지원 악성 코드 분석

Shandong University & Hubei Normal University, Tulane University 및 University of Texas at Arlington의 연구에서는 "하드웨어 지원 루프 프로파일링을 통한 악성 프로그램 압축 풀기의 타당성에 관한"이라는 기술 논문을 발표했습니다. 이 문서는 최근 열린 제32차 USENIX 보안 심포지엄에 포함되었습니다.

추상
“HPC(하드웨어 성능 카운터)는 다양한 마이크로 아키텍처 이벤트의 발생을 계산하기 위해 최신 프로세서에 내장된 레지스터입니다. HPC 값을 측정하는 것은 동적 프로그램 동작을 특성화하는 비용 효과적인 방법입니다. 사용 편의성과 변조 방지 이점으로 인해 보안 문제를 해결하기 위해 기계 학습 모델과 결합된 HPC를 사용하는 것이 최근 몇 년간 증가하고 있습니다. 그러나 최근에는 비결정론적 우려로 인해 보안에 대한 HPC의 적합성에 의문이 제기되었습니다. 즉, 인터럽트 스키드 및 시분할 다중화로 인해 발생하는 측정 오류는 보안 애플리케이션에서 HPC 사용의 효율성을 약화시킬 수 있습니다.

이러한 주의 사항을 염두에 두고 우리는 맬웨어 분석에서 오랜 과제인 맬웨어 압축 해제에 대한 하드웨어 이벤트의 비결정성 특성을 길들이는 방법을 탐색합니다. 우리의 연구는 두 가지 주요 관찰에 의해 동기가 부여되었습니다. 첫째, 값비싼 암호 해독 또는 압축 해제 반복을 포함하는 압축 풀기 프로세스로 인해 하드웨어 이벤트에서 식별 가능한 편차가 발생할 수 있습니다. 둘째, 루프 중심 HPC 프로파일링은 인터럽트 스키드 및 시분할 다중화로 인한 부정확성을 최소화할 수 있습니다. 따라서 우리는 Intel CPU가 제공하는 두 가지 메커니즘(예: PEBS(Precise Event-Based Sampling) 및 마지막 분기 레코드)을 활용하여 LoopHPC라고 하는 일반적인 하드웨어 지원 압축 풀기 기술을 개발합니다. 이는 여러 "작성 후 실행" 계층에서 원본 코드를 식별할 수 있는 새로운 난독화 복원 솔루션을 제공합니다. 우리의 통제된 실험은 LoopHPC가 다양한 Intel CPU 아키텍처 및 OS에서 정확하고 일관된 HPC 값을 얻을 수 있음을 보여줍니다."

기술 문서 및 슬라이드 찾기 여기에서 지금 확인해 보세요.. 2023년 XNUMX월 게시.

Cheng, Binlin, Erika A. Leal, Haotian Zhang 및 Jiang Ming. “하드웨어 지원 루프 프로파일링을 통한 악성 코드 압축 해제의 타당성에 대해.” 제32회 USENIX 보안 심포지엄(USENIX Security 23), pp. 7481-7498. 2023.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://semiengineering.com/hardware-assisted-malware-analysis/