Wspomagana sprzętowo analiza złośliwego oprogramowania

Artykuł techniczny zatytułowany „On the Feasibility of Malware Unpacking via Hardware-assisted Loop Profiling” został opublikowany przez badaczy z Uniwersytetu w Shandong, Uniwersytetu Hubei Normal, Uniwersytetu Tulane i Uniwersytetu Teksasu w Arlington. Artykuł ten został zaprezentowany podczas niedawnego 32. Sympozjum Bezpieczeństwa USENIX.

Abstrakcyjny
„Hardware Performance Counters (HPC) to wbudowane rejestry nowoczesnych procesorów służące do zliczania wystąpień różnych zdarzeń mikroarchitektonicznych. Pomiar wartości HPC jest opłacalnym sposobem scharakteryzowania dynamicznych zachowań programu. Ze względu na łatwość użycia i odporność na manipulacje, w ostatnich latach coraz popularniejsze staje się wykorzystanie komputerów HPC w połączeniu z modelami uczenia maszynowego do rozwiązywania problemów związanych z bezpieczeństwem. Jednak ostatnio przydatność HPC do celów bezpieczeństwa została zakwestionowana w świetle obaw związanych z niedeterminizmem: błędy pomiarowe spowodowane poślizgiem przerwań i multipleksowaniem z podziałem czasu mogą podważyć skuteczność wykorzystania HPC w zastosowaniach związanych z bezpieczeństwem.

Mając na uwadze te przestrogi, badamy sposoby okiełznania niedeterministycznej natury zdarzeń sprzętowych w przypadku rozpakowywania złośliwego oprogramowania, co od dawna stanowi wyzwanie w analizie złośliwego oprogramowania. Motywacją naszych badań są dwie kluczowe obserwacje. Po pierwsze, proces rozpakowywania, który obejmuje kosztowne iteracje deszyfrowania lub dekompresji, może powodować zauważalne odchylenia w zdarzeniach sprzętowych. Po drugie, profilowanie HPC zorientowane na pętlę może zminimalizować niedokładności spowodowane przez poślizg przerwań i multipleksowanie z podziałem czasu. Dlatego wykorzystujemy dwa mechanizmy oferowane przez procesory Intel (tj. precyzyjne próbkowanie oparte na zdarzeniach (PEBS) i zapis ostatniej gałęzi), aby opracować ogólną technikę rozpakowywania wspomaganego sprzętowo, zwaną LoopHPC. Oferuje nowe, odporne na zaciemnianie rozwiązanie umożliwiające identyfikację oryginalnego kodu z wielu warstw „zapisanych, a następnie wykonanych”. Nasze kontrolowane eksperymenty pokazują, że LoopHPC mogą uzyskiwać dokładne i spójne wartości HPC w różnych architekturach procesorów Intel i systemach operacyjnych”.

Znajdź dokument techniczny i slajdy tutaj. Opublikowano w sierpniu 2023 r.

Cheng, Binlin, Erika A. Leal, Haotian Zhang i Jiang Ming. „O możliwości rozpakowywania złośliwego oprogramowania za pomocą profilowania pętli wspomaganej sprzętowo”. W 32. Sympozjum dotyczącym bezpieczeństwa USENIX (USENIX Security 23), s. 7481-7498. 2023.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://semiengineering.com/hardware-assisted-malware-analysis/