Wissenschaft: Wie Malware mit der Antenne erkannt werden kann

IoT-Geräte sind mit steigender Verbreitung ein beliebtes Ziel für Malware. Französische Forschende erkennen sie auf unkonventionelle Weise.

Artikel von Johannes Hiltscher veröffentlicht am
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission
Versuchsaufbau zur Malwarebestimmung anhand elektromagnetischer Emission (Bild: INRIA)

Malware auf IoT-Geräten stellt ein ernstzunehmendes Problem dar - Beispiele wie das Botnetz Mirai haben dies gezeigt. Gleichzeitig sind diese Geräte besonders anfällig, da Hersteller häufig keine Updates bereitstellen, hierzu sehr lange brauchen oder die Software nur wenige Jahre lang aktualisieren.

Stellenmarkt
  1. Digital Solutions Manager (m/w/d)
    P.E.G. Einkaufs- und Betriebsgenossenschaft eG, München
  2. Support-Specialist (m/w/d)
    Allianz Technology SE, Hamburg
Detailsuche

Gleichzeitig haben Nutzer oft keine Möglichkeit, überhaupt zu erkennen, ob ihr Gerät befallen ist. Auf viele IoT-Geräte haben sie, von einer Web-Oberfläche abgesehen, überhaupt keinen Zugriff. Übliche Lösungen wie Virenscanner fallen also aus - vielfach auch aufgrund der geringen Rechenleistung des Geräts. Forschende des französischen Forschungsverbunds INRIA gehen das Problem mit einem ungewöhnlichen Ansatz an.

Sie messen die elektromagnetische Emission des untersuchten Prozessors. Diese entsteht durch den Stromfluss im Silizium. Die verschiedenen Funktionseinheiten, beispielsweise Gleitkomma- oder Integerrechenwerk, haben charakteristische Stromflussmuster. Sie erzeugen also eine ebenfalls charakteristische elektromagnetische Emission.

Emissionen verraten Malware-Verhalten

Wird die Emission des Chips gemessen, lassen sich anhand der spektralen Zusammensetzung, Intensität und des zeitlichen Verlaufs Rückschlüsse ziehen, was im Inneren gerade passiert. Verwandte Techniken, jedoch prozessorseitig, nutzen manche Seitenkanalangriffe auf Verschlüsselungssoftware. Hier kann über Messungen der Programmausführungsdauer und des Energieverbrauchs teilweise sogar auf die verarbeiteten Daten geschlossen werden.

Golem Akademie
  1. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
  2. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    16.-20.05.2022, Virtuell
Weitere IT-Trainings

Das Vorgehen des INRIA-Forschungsteams hat mehrere Vorteile. Geräte können von außen untersucht werden, da keine Software installiert werden muss. So merkt auch die Malware nicht, dass sie gerade analysiert wird - manche Schadsoftware versucht dies zu erkennen und ändert bei Verdacht ihr Verhalten. Zudem ist die Methode robust gegen Verschleierungstechniken (Obfuscation). Malwareautoren nutzen sie, um die Erkennung ihres Programms zu verhindern oder zumindest zu erschweren.

Raspberry Pi als Opfer

Überprüft haben die Forschenden diese Technik mit einem Raspberry Pi, auf dem sie verschiedene bekannte Malware installierten. Sie zeichneten den zeitlichen Emissionsverlauf bei Ausführung der Malware sowie einer Kontrollgruppe von "gutartiger" Software auf. Diese wandelten sie in ein Frequenz-Histogramm, welches für feste Zeitintervalle das Spektrum bestimmt.

Der so entstehende Datensatz ist jedoch sehr umfangreich. Außerdem enthält er viel Rauschen - Störungen durch andere ausgeführte Programme, weitere Prozessorkerne oder gar andere Komponenten auf dem Chip. Daher bestimmte das Forschungsteam zuerst die interessanten Frequenzen im Spektrogramm. Lediglich diejenigen, die statistisch die größte Informationsmenge enthalten, wurden weiterverarbeitet (Feature Selection im Bild).

  • Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)
Das von den Forschenden genutzte System zur Malwareklassifizierung. (Bild: ACSAC Paper)

Im nächsten Schritt trainierten sie Modelle mit klassischen Machine-Learning-Algorithmen (Naive Bayesian und Support Vector Machine) sowie zwei neuronale Netze (Multi Layer Perceptron und Convolutional Neural Network). Deren Erkennungsgenauigkeit untersuchten sie nun für verschiedene Szenarien. Besonders interessant ist, dass auch die Erkennungsrate bei Einsatz von Obfuscation-Techniken durch die Malware untersucht wurde.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Ansatz erscheint vielversprechend

Ein Szenario ist die Klassifizierung nach Malwaretyp, unterschieden wurde hier nach DDoS, Ransomware oder Rootkit. Hier erzielte, wie zu erwarten, das CNN die besten Ergebnisse - mit einer Erkennungsrate und Präzision von jeweils fast 100%. Die Erkennung der Malwarefamilie, beispielsweise Mirai, gelang ähnlich gut. Sogar die genutzte Obfuscation-Methode wird zu über 80% korrekt erkannt. Die Ergebnisse bedeuten, dass Variationen einer existierenden Malware und möglicherweise sogar neue Schadsoftware mit dem Ansatz erkannt werden können.

Die Ergebnisse veröffentlichte das Forschungsteam auf der Konferenz ACSAC. Das Paper kann kostenlos heruntergeladen werden. Außerdem existiert ein Wiki, das den genauen Versuchsaufbau beschreibt und alle zum Nachbauen erforderlichen Daten zur Verfügung stellt.

Lediglich das verwendete Oszilloskop, ein PicoScope 6407, die Messsonde und einen Langer PA-303 HF-Verstärker müssen Interessierte selbst besorgen. Leider liegt der Preis dieses Pakets bei weit über 10.000 Euro - alltagstauglich ist die Lösung also noch nicht. Auch müssen die Modelle vermutlich für andere Systems-on-Chip (SoCs) als den BCM2836 des verwendeten Raspberry Pi 2B neu trainiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /