Análise de malware assistida por hardware

Um artigo técnico intitulado “Sobre a viabilidade de descompactação de malware por meio de perfil de loop assistido por hardware” foi publicado por pesquisadores da Universidade de Shandong e da Universidade Normal de Hubei, da Universidade de Tulane e da Universidade do Texas em Arlington. Este artigo foi incluído no recente 32º Simpósio de Segurança USENIX.

Sumário
“Contadores de desempenho de hardware (HPCs) são registros integrados de processadores modernos para contar as ocorrências de vários eventos de microarquitetura. Medir os valores de HPCs é uma forma econômica de caracterizar comportamentos dinâmicos de programas. Devido à facilidade de uso e às vantagens de resistência à violação, o uso de HPCs juntamente com modelos de aprendizado de máquina para resolver problemas de segurança está aumentando nos últimos anos. No entanto, ultimamente a adequação dos HPCs para segurança tem sido questionada à luz das preocupações de não determinismo: erros de medição causados ​​por derrapagens de interrupção e multiplexação por divisão de tempo podem prejudicar a eficácia do uso de HPCs em aplicações de segurança.

Com esses cuidados em mente, exploramos maneiras de controlar a natureza não determinista dos eventos de hardware para a descompactação de malware, que é um desafio de longa data na análise de malware. Nossa pesquisa é motivada por duas observações principais. Primeiro, o processo de descompactação, que envolve dispendiosas iterações de descriptografia ou descompactação, pode incorrer em desvios identificáveis ​​em eventos de hardware. Em segundo lugar, o perfil de HPCs centrado em loop pode minimizar as imprecisões causadas pela derrapagem de interrupção e pela multiplexação por divisão de tempo. Portanto, utilizamos dois mecanismos oferecidos pelas CPUs Intel (isto é, Precise Event-Based Sampling (PEBS) e Last Branch Record) para desenvolver uma técnica genérica de descompactação assistida por hardware, chamada LoopHPCs. Ele oferece uma solução nova e resistente à ofuscação para identificar o código original de múltiplas camadas “escritas e depois executadas”. Nossos experimentos controlados demonstram que os LoopHPCs podem obter valores de HPCs precisos e consistentes em diferentes arquiteturas de CPU e sistemas operacionais da Intel.”

Encontre o artigo técnico e os slides SUA PARTICIPAÇÃO FAZ A DIFERENÇA. Publicado em agosto de 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang e Jiang Ming. “Sobre a viabilidade de descompactação de malware por meio de criação de perfil de loop assistido por hardware.” No 32º Simpósio de Segurança USENIX (USENIX Security 23), pp. 7481.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://semiengineering.com/hardware-assisted-malware-analysis/