Analiza malware asistată de hardware

O lucrare tehnică intitulată „On the Feasibility of Malware Unpacking via Hardware-assisted Loop Profiling” a fost publicată de cercetările de la Universitatea Shandong și Universitatea Normală Hubei, Universitatea Tulane și Universitatea din Texas din Arlington. Această lucrare a fost inclusă la cel de-al 32-lea simpozion de securitate USENIX.

Abstract
„Contoarele de performanță hardware (HPC) sunt registre încorporate ale procesoarelor moderne pentru a număra aparițiile diferitelor evenimente micro-arhitecturale. Măsurarea valorilor HPC este o modalitate rentabilă de a caracteriza comportamentele dinamice ale programului. Datorită ușurinței de utilizare și avantajelor de rezistență la falsificare, utilizarea HPC cuplată cu modele de învățare automată pentru a rezolva problemele de securitate este în creștere în ultimii ani. Cu toate acestea, în ultimul timp, adecvarea HPC-urilor pentru securitate a fost pusă la îndoială în lumina preocupărilor legate de non-determinism: erorile de măsurare cauzate de derapajul întrerupt și multiplexarea cu divizare în timp pot submina eficiența utilizării HPC-urilor în aplicațiile de securitate.

Având în vedere aceste precauții, explorăm modalități de a îmblânzi natura nedeterminismului evenimentului hardware pentru despachetarea programelor malware, care este o provocare de lungă durată în analiza programelor malware. Cercetarea noastră este motivată de două observații cheie. În primul rând, procesul de despachetare, care implică iterații costisitoare de decriptare sau decompresie, poate provoca abateri identificabile în evenimentele hardware. În al doilea rând, profilarea HPC centrată pe buclă poate minimiza impreciziile cauzate de derapajul întrerupt și multiplexarea cu divizare în timp. Prin urmare, utilizăm două mecanisme oferite de procesoarele Intel (adică Precise Event-Based Sampling (PEBS) și Last Branch Record) pentru a dezvolta o tehnică generică de despachetare asistată de hardware, numită LoopHPC. Oferă o soluție nouă, rezistentă la ofuscare, pentru a identifica codul original din mai multe straturi „scrise, apoi executate”. Experimentele noastre controlate demonstrează că LoopHPC-urile pot obține valori HPC precise și consistente în diferite arhitecturi și sisteme de operare Intel CPU.”

Găsiți lucrarea tehnică și diapozitive aici. Publicat în august 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang și Jiang Ming. „Cu privire la fezabilitatea despachetării programelor malware prin profilarea buclei asistată de hardware.” În cel de-al 32-lea simpozion de securitate USENIX (USENIX Security 23), pp. 7481-7498. 2023.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• ChartPrime. Crește-ți jocul de tranzacționare cu ChartPrime. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://semiengineering.com/hardware-assisted-malware-analysis/