Strojno podprta analiza zlonamerne programske opreme

Tehnični članek z naslovom »O izvedljivosti razpakiranja zlonamerne programske opreme prek strojno podprtega profiliranja zank« so objavili raziskovalci na Univerzi Shandong & Normal University Hubei, Univerzi Tulane in Univerzi v Teksasu v Arlingtonu. Ta članek je bil vključen na nedavni 32. varnostni simpozij USENIX.

Minimalizem
»Hardware Performance Counters (HPC) so vgrajeni registri sodobnih procesorjev za štetje pojavov različnih mikroarhitekturnih dogodkov. Merjenje vrednosti HPC je stroškovno učinkovit način za karakterizacijo dinamičnega vedenja programa. Zaradi enostavne uporabe in prednosti, ki so odporne proti posegom, je uporaba HPC skupaj z modeli strojnega učenja za reševanje varnostnih težav v zadnjih letih v porastu. Vendar pa je bila v zadnjem času vprašljiva primernost HPC-jev za varnost v luči pomislekov glede nedeterminizma: napake pri meritvah, ki jih povzročajo zdrsi prekinitev in časovno razdeljeno multipleksiranje, lahko ogrozijo učinkovitost uporabe HPC-jev v varnostnih aplikacijah.

S temi opozorili v mislih raziskujemo načine za ukrotitev nedeterministične narave dogodka strojne opreme za razpakiranje zlonamerne programske opreme, kar je dolgoletni izziv pri analizi zlonamerne programske opreme. Našo raziskavo motivirata dve ključni ugotovitvi. Prvič, postopek razpakiranja, ki vključuje drage iteracije dešifriranja ali dekompresije, lahko povzroči prepoznavna odstopanja v dogodkih strojne opreme. Drugič, profiliranje HPC-jev, osredotočenih na zanke, lahko čim bolj zmanjša nenatančnosti, ki jih povzročajo zdrsi prekinitev in multipleksiranje s časovno delitvijo. Zato uporabljamo dva mehanizma, ki ju ponujajo procesorji Intel (tj. natančno vzorčenje na podlagi dogodkov (PEBS) in zapis zadnje veje), da razvijemo generično tehniko razpakiranja s pomočjo strojne opreme, imenovano LoopHPC. Ponuja novo rešitev, ki je odporna na zamegljevanje, za identifikacijo izvirne kode iz več plasti "napisanih in nato izvedenih". Naši nadzorovani poskusi dokazujejo, da lahko LoopHPC-ji pridobijo natančne in dosledne vrednosti HPC-jev v različnih Intelovih arhitekturah CPU in operacijskih sistemih.«

Poiščite tehnični dokument in diapozitive tukaj. Objavljeno avgusta 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang in Jiang Ming. »O izvedljivosti razpakiranja zlonamerne programske opreme prek strojno podprtega profiliranja zanke.« Na 32. varnostnem simpoziju USENIX (USENIX Security 23), str. 7481-7498. 2023.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://semiengineering.com/hardware-assisted-malware-analysis/