Wissenschaft: Wie Malware mit der Antenne erkannt werden kann

IoT-Geräte sind mit steigender Verbreitung ein beliebtes Ziel für Malware. Französische Forschende erkennen sie auf unkonventionelle Weise.

Artikel von Johannes Hiltscher veröffentlicht am
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission (Bild: INRIA)

Malware auf IoT-Geräten stellt ein ernstzunehmendes Problem dar - Beispiele wie das Botnetz Mirai haben dies gezeigt. Gleichzeitig sind diese Geräte besonders anfällig, da Hersteller häufig keine Updates bereitstellen, hierzu sehr lange brauchen oder die Software nur wenige Jahre lang aktualisieren.

Stellenmarkt
  1. IT Network Administrator (f/m/div)
    Max-Planck-Institut für Intelligente Systeme, Stuttgart
  2. IT-Application-Consultant/ER- P-Systembetreuer (m/w/d)
    HEINE Optotechnik GmbH & Co. KG, Gilching
Detailsuche

Gleichzeitig haben Nutzer oft keine Möglichkeit, überhaupt zu erkennen, ob ihr Gerät befallen ist. Auf viele IoT-Geräte haben sie, von einer Web-Oberfläche abgesehen, überhaupt keinen Zugriff. Übliche Lösungen wie Virenscanner fallen also aus - vielfach auch aufgrund der geringen Rechenleistung des Geräts. Forschende des französischen Forschungsverbunds INRIA gehen das Problem mit einem ungewöhnlichen Ansatz an.

Sie messen die elektromagnetische Emission des untersuchten Prozessors. Diese entsteht durch den Stromfluss im Silizium. Die verschiedenen Funktionseinheiten, beispielsweise Gleitkomma- oder Integerrechenwerk, haben charakteristische Stromflussmuster. Sie erzeugen also eine ebenfalls charakteristische elektromagnetische Emission.

Emissionen verraten Malware-Verhalten

Wird die Emission des Chips gemessen, lassen sich anhand der spektralen Zusammensetzung, Intensität und des zeitlichen Verlaufs Rückschlüsse ziehen, was im Inneren gerade passiert. Verwandte Techniken, jedoch prozessorseitig, nutzen manche Seitenkanalangriffe auf Verschlüsselungssoftware. Hier kann über Messungen der Programmausführungsdauer und des Energieverbrauchs teilweise sogar auf die verarbeiteten Daten geschlossen werden.

Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
Weitere IT-Trainings

Das Vorgehen des INRIA-Forschungsteams hat mehrere Vorteile. Geräte können von außen untersucht werden, da keine Software installiert werden muss. So merkt auch die Malware nicht, dass sie gerade analysiert wird - manche Schadsoftware versucht dies zu erkennen und ändert bei Verdacht ihr Verhalten. Zudem ist die Methode robust gegen Verschleierungstechniken (Obfuscation). Malwareautoren nutzen sie, um die Erkennung ihres Programms zu verhindern oder zumindest zu erschweren.

Raspberry Pi als Opfer

Überprüft haben die Forschenden diese Technik mit einem Raspberry Pi, auf dem sie verschiedene bekannte Malware installierten. Sie zeichneten den zeitlichen Emissionsverlauf bei Ausführung der Malware sowie einer Kontrollgruppe von "gutartiger" Software auf. Diese wandelten sie in ein Frequenz-Histogramm, welches für feste Zeitintervalle das Spektrum bestimmt.

Der so entstehende Datensatz ist jedoch sehr umfangreich. Außerdem enthält er viel Rauschen - Störungen durch andere ausgeführte Programme, weitere Prozessorkerne oder gar andere Komponenten auf dem Chip. Daher bestimmte das Forschungsteam zuerst die interessanten Frequenzen im Spektrogramm. Lediglich diejenigen, die statistisch die größte Informationsmenge enthalten, wurden weiterverarbeitet (Feature Selection im Bild).

  • Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)
Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)

Im nächsten Schritt trainierten sie Modelle mit klassischen Machine-Learning-Algorithmen (Naive Bayesian und Support Vector Machine) sowie zwei neuronale Netze (Multi Layer Perceptron und Convolutional Neural Network). Deren Erkennungsgenauigkeit untersuchten sie nun für verschiedene Szenarien. Besonders interessant ist, dass auch die Erkennungsrate bei Einsatz von Obfuscation-Techniken durch die Malware untersucht wurde.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Ansatz erscheint vielversprechend

Ein Szenario ist die Klassifizierung nach Malwaretyp, unterschieden wurde hier nach DDoS, Ransomware oder Rootkit. Hier erzielte, wie zu erwarten, das CNN die besten Ergebnisse - mit einer Erkennungsrate und Präzision von jeweils fast 100%. Die Erkennung der Malwarefamilie, beispielsweise Mirai, gelang ähnlich gut. Sogar die genutzte Obfuscation-Methode wird zu über 80% korrekt erkannt. Die Ergebnisse bedeuten, dass Variationen einer existierenden Malware und möglicherweise sogar neue Schadsoftware mit dem Ansatz erkannt werden können.

Die Ergebnisse veröffentlichte das Forschungsteam auf der Konferenz ACSAC. Das Paper kann kostenlos heruntergeladen werden. Außerdem existiert ein Wiki, das den genauen Versuchsaufbau beschreibt und alle zum Nachbauen erforderlichen Daten zur Verfügung stellt.

Lediglich das verwendete Oszilloskop, ein PicoScope 6407, die Messsonde und einen Langer PA-303 HF-Verstärker müssen Interessierte selbst besorgen. Leider liegt der Preis dieses Pakets bei weit über 10.000 Euro - alltagstauglich ist die Lösung also noch nicht. Auch müssen die Modelle vermutlich für andere Systems-on-Chip (SoCs) als den BCM2836 des verwendeten Raspberry Pi 2B neu trainiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nahverkehr für 9 Euro
Das 2,5-Milliarden-Euro-Ticket

Für 9 Euro durch ganz Deutschland - was für die ÖPNV-Reisenden wie ein guter Deal klingt, hat für die Verkehrsunternehmen ein paar Haken.
Ein Bericht von Martin Wolf

Nahverkehr für 9 Euro: Das 2,5-Milliarden-Euro-Ticket
Artikel
  1. Activision Blizzard: Erste Arbeitnehmervertretung in großem US-Spielestudio
    Activision Blizzard
    Erste Arbeitnehmervertretung in großem US-Spielestudio

    Nach monatenlangem Kampf - spürbar durch Bugs in Call of Duty - hat die QA-Abteilung von Raven Software eine Arbeitnehmervertertung gewählt.

  2. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

  3. Canon EOS R7 und EOS R10: Canon stellt erste APS-C-Kameras der R-Serie vor
    Canon EOS R7 und EOS R10
    Canon stellt erste APS-C-Kameras der R-Serie vor

    2018 hat Canon die spiegellosen Systemkameras der R-Serie vorgestellt. Nach vier Jahren erweitert der Hersteller diese mit APS-C-Kameras.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Cyber Week: Alle Deals freigeschaltet • Samsung schenkt 19% MwSt.[Werbung]
    •  /