Wissenschaft: Wie Malware mit der Antenne erkannt werden kann

IoT-Geräte sind mit steigender Verbreitung ein beliebtes Ziel für Malware. Französische Forschende erkennen sie auf unkonventionelle Weise.

Artikel von Johannes Hiltscher veröffentlicht am
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission (Bild: INRIA)

Malware auf IoT-Geräten stellt ein ernstzunehmendes Problem dar - Beispiele wie das Botnetz Mirai haben dies gezeigt. Gleichzeitig sind diese Geräte besonders anfällig, da Hersteller häufig keine Updates bereitstellen, hierzu sehr lange brauchen oder die Software nur wenige Jahre lang aktualisieren.

Stellenmarkt
  1. IT-Anwendungsberater für das Fachverfahren Einwohnermeldewesen (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte
  2. Mitarbeiter IT (m/w/d)
    Duo Collection Import Vertriebsgesellschaft mbH, Bad Zwischenahn
Detailsuche

Gleichzeitig haben Nutzer oft keine Möglichkeit, überhaupt zu erkennen, ob ihr Gerät befallen ist. Auf viele IoT-Geräte haben sie, von einer Web-Oberfläche abgesehen, überhaupt keinen Zugriff. Übliche Lösungen wie Virenscanner fallen also aus - vielfach auch aufgrund der geringen Rechenleistung des Geräts. Forschende des französischen Forschungsverbunds INRIA gehen das Problem mit einem ungewöhnlichen Ansatz an.

Sie messen die elektromagnetische Emission des untersuchten Prozessors. Diese entsteht durch den Stromfluss im Silizium. Die verschiedenen Funktionseinheiten, beispielsweise Gleitkomma- oder Integerrechenwerk, haben charakteristische Stromflussmuster. Sie erzeugen also eine ebenfalls charakteristische elektromagnetische Emission.

Emissionen verraten Malware-Verhalten

Wird die Emission des Chips gemessen, lassen sich anhand der spektralen Zusammensetzung, Intensität und des zeitlichen Verlaufs Rückschlüsse ziehen, was im Inneren gerade passiert. Verwandte Techniken, jedoch prozessorseitig, nutzen manche Seitenkanalangriffe auf Verschlüsselungssoftware. Hier kann über Messungen der Programmausführungsdauer und des Energieverbrauchs teilweise sogar auf die verarbeiteten Daten geschlossen werden.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Das Vorgehen des INRIA-Forschungsteams hat mehrere Vorteile. Geräte können von außen untersucht werden, da keine Software installiert werden muss. So merkt auch die Malware nicht, dass sie gerade analysiert wird - manche Schadsoftware versucht dies zu erkennen und ändert bei Verdacht ihr Verhalten. Zudem ist die Methode robust gegen Verschleierungstechniken (Obfuscation). Malwareautoren nutzen sie, um die Erkennung ihres Programms zu verhindern oder zumindest zu erschweren.

Raspberry Pi als Opfer

Überprüft haben die Forschenden diese Technik mit einem Raspberry Pi, auf dem sie verschiedene bekannte Malware installierten. Sie zeichneten den zeitlichen Emissionsverlauf bei Ausführung der Malware sowie einer Kontrollgruppe von "gutartiger" Software auf. Diese wandelten sie in ein Frequenz-Histogramm, welches für feste Zeitintervalle das Spektrum bestimmt.

Der so entstehende Datensatz ist jedoch sehr umfangreich. Außerdem enthält er viel Rauschen - Störungen durch andere ausgeführte Programme, weitere Prozessorkerne oder gar andere Komponenten auf dem Chip. Daher bestimmte das Forschungsteam zuerst die interessanten Frequenzen im Spektrogramm. Lediglich diejenigen, die statistisch die größte Informationsmenge enthalten, wurden weiterverarbeitet (Feature Selection im Bild).

  • Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)
Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)

Im nächsten Schritt trainierten sie Modelle mit klassischen Machine-Learning-Algorithmen (Naive Bayesian und Support Vector Machine) sowie zwei neuronale Netze (Multi Layer Perceptron und Convolutional Neural Network). Deren Erkennungsgenauigkeit untersuchten sie nun für verschiedene Szenarien. Besonders interessant ist, dass auch die Erkennungsrate bei Einsatz von Obfuscation-Techniken durch die Malware untersucht wurde.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Ansatz erscheint vielversprechend

Ein Szenario ist die Klassifizierung nach Malwaretyp, unterschieden wurde hier nach DDoS, Ransomware oder Rootkit. Hier erzielte, wie zu erwarten, das CNN die besten Ergebnisse - mit einer Erkennungsrate und Präzision von jeweils fast 100%. Die Erkennung der Malwarefamilie, beispielsweise Mirai, gelang ähnlich gut. Sogar die genutzte Obfuscation-Methode wird zu über 80% korrekt erkannt. Die Ergebnisse bedeuten, dass Variationen einer existierenden Malware und möglicherweise sogar neue Schadsoftware mit dem Ansatz erkannt werden können.

Die Ergebnisse veröffentlichte das Forschungsteam auf der Konferenz ACSAC. Das Paper kann kostenlos heruntergeladen werden. Außerdem existiert ein Wiki, das den genauen Versuchsaufbau beschreibt und alle zum Nachbauen erforderlichen Daten zur Verfügung stellt.

Lediglich das verwendete Oszilloskop, ein PicoScope 6407, die Messsonde und einen Langer PA-303 HF-Verstärker müssen Interessierte selbst besorgen. Leider liegt der Preis dieses Pakets bei weit über 10.000 Euro - alltagstauglich ist die Lösung also noch nicht. Auch müssen die Modelle vermutlich für andere Systems-on-Chip (SoCs) als den BCM2836 des verwendeten Raspberry Pi 2B neu trainiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Ubisoft Blue Byte: Entwicklung von Die Siedler geht weiter
    Ubisoft Blue Byte
    Entwicklung von Die Siedler geht weiter

    Trotz harscher Kritik an einer Vorabversion geben die Entwickler nicht auf: Nun soll Die Siedler zusammen mit der Community entstehen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /