我的殺毒軟件直接掃描電磁波，查木馬準確率99.82%

我們總是說，物聯(lián)網(wǎng)設備的網(wǎng)絡安全難以保證，現(xiàn)在有人用「降維打擊」的辦法作了安排。

物聯(lián)網(wǎng) (IoT) 是由數(shù)量和復雜性呈指數(shù)增長的設備組成的，在使用大量定制的固件和硬件的同時，制造者卻很難全面地考慮到安全問題，這使 IoT 很容易成為網(wǎng)絡犯罪的目標，尤其是那些惡意軟件攻擊。

當前，世界上的許多大型企業(yè)都在努力應對日益廣泛和復雜的惡意軟件攻擊。但一種有趣的新惡意軟件檢測技術，可以幫助企業(yè)在不需要任何軟件的情況下鏟除這些威脅。

來自法國計算機科學與隨機系統(tǒng)研究所的研究團隊創(chuàng)建了一個以樹莓派為中心的反惡意軟件系統(tǒng)，該系統(tǒng)可以掃描設備中的電磁波來檢測惡意軟件。

論文鏈接：https://hal.archives-ouvertes.fr/hal-03374399/document

該安全設備使用示波器 (Picoscope 6407) 和連接到 Raspberry Pi 2B 的 H-Field 探頭來檢測受到攻擊的計算機發(fā)出的特定電磁波中的異常情況。研究人員稱使用了這種技術「獲得有關惡意軟件類型和身份的準確信息?！谷缓螅瑱z測系統(tǒng)依靠卷積神經(jīng)網(wǎng)絡 (CNN) 來確定收集的數(shù)據(jù)是否表明存在威脅。

憑借這種技術，研究人員聲稱他們可以記錄被真正惡意軟件樣本感染的物聯(lián)網(wǎng)設備的 100000 條測量軌跡，并以高達 99.82% 的準確率預測了三種通用和一種良性惡意軟件的類別。

最重要的是，這種檢測技術并不需要任何軟件，正在被掃描的設備也不需要以任何方式進行操作。因此，攻擊方嘗試使用混淆技術隱藏惡意代碼是不可行的。

「我們的方法不需要對目標設備進行任何修改。因此，它可以獨立于可用資源進行部署，而無需任何開銷。此外，這種方法的優(yōu)點在于，惡意軟件作者幾乎無法檢測和規(guī)避它。」研究人員在論文中寫道。

該系統(tǒng)僅為研究目的而設計的，而不是作為商業(yè)產(chǎn)品發(fā)布，它可能會激發(fā)更多安全團隊研究使用電磁波檢測惡意軟件的新方式。研究目前處于早期階段，神經(jīng)網(wǎng)絡需要進一步訓練才能有實際用途。

一定意義上說，這種系統(tǒng)也是一種保護設備的獨特方法，它使惡意軟件的作者難以隱藏代碼，但該技術遠未向公眾提供。

從樹莓派的價格上考慮，這可能是一種檢測惡意軟件的低成本方法，而其他電磁波掃描設備的成本高達數(shù)千美元。盡管存在局限性，但從另一個角度看，這種簡潔的設置有朝一日也許能幫助設備免受大型攻擊。

研究細節(jié)

團隊提出了一個惡意軟件的分類框架，該框架以可執(zhí)行文件作為輸入，僅依靠電磁波側信道信息輸出其預測標簽。

圖 1 展示了該工作流：首先，研究者定義了威脅模型，當惡意軟件在目標設備上運行時，收集電磁波****信息。他們搭建了一個基礎設施，能夠運行惡意軟件與一個現(xiàn)實的用戶環(huán)境，同時防止感染主機控制器系統(tǒng)。然后，由于采集的數(shù)據(jù)非常嘈雜，需要進行預處理步驟來隔離相關的信息信號。最后，使用這個輸出，研究者訓練了神經(jīng)網(wǎng)絡模型和機器學習算法，以便分類惡意軟件類型、二進制文件、混淆方法，并檢測一個可執(zhí)行文件是否打包。

實驗及結果

該研究實驗的第一步是數(shù)據(jù)采集。

首先目標設備的選擇對于 EM 側信道分析至關重要。研究者確立了三個主要要求：

它必須是多用途嵌入式設備，以盡可能多地支持收集到的惡意軟件，而不是一組特定的惡意軟件或設備；

它的 CPU 必須具備突出的架構，以避免缺乏對新型 IoT 惡意軟件的支持； 

它必須容易受到 EM 側信道攻擊。

該研究最終選擇 Raspberry Pi 2B 作為具有 900 MHz 四核 ARM Cortex-A7、1 GB 內(nèi)存的目標設備。

為了支持惡意軟件數(shù)據(jù)集（包括 Mirai 和 Bashlite），該研究實現(xiàn)了中心惡意 C&C 服務器模型的合成環(huán)境。如下圖 2 所示，在多種攻擊場景下，采用 C&C 服務器隨機向僵尸網(wǎng)絡客戶端下發(fā)不同的命令。

在電磁信號采集方面，該研究使用中低檔測量設置在良性和惡意數(shù)據(jù)集的執(zhí)行下監(jiān)控樹莓派。如下圖 3 所示，它由連接到 H - 場探頭（Langer RF-R 0.3-3）的 1GHz 帶寬示波器（Picoscope 6407）組成，其中使用 Langer PA-303 +30dB 放大 EM 信號。為了捕捉惡意軟件的長時間執(zhí)行，以 2MHz 的采樣率對信號進行采樣。

頻譜圖上 NICV 的特征選擇過程如下圖 4 所示。

實驗結果如表 3 所示。第一列為方案的名稱，第二列陳述了網(wǎng)絡的輸出數(shù)量(類)，其他列顯示了最佳帶寬數(shù)量的準確性和兩個神經(jīng)網(wǎng)絡模型的準確率和召回率，以及測試數(shù)據(jù)集上的兩個機器學習算法。

分類。研究者共使用了在 30 個惡意軟件樣本活動期間測量的痕跡，加上良性活動 (隨機、視頻、音樂、圖片、相機活動) 的痕跡，為了規(guī)避偏見，這兩種活動都是在隨機用戶環(huán)境中進行的。

惡意軟件二進制代碼是五個族的變體: gonnacry、 keysniffer、 maK it、 mirai 和 bashlite，包括七種不同的混淆技術。

在這種情況下，研究者目標是在錄入時檢索感染設備的惡意軟件類型。這里涉及一個 4 級分類問題: 勒索軟件、 rootkit、 DDoS 和良性。所有的模型對于這個問題都是非常有效的(> 98% 的準確率) ，顯然混淆不妨礙類型分類。

可以觀察到，CNN (99.82%)比 MLP、 NB 和 SVM 略準確一些。圖 5(a)中顯示了每個執(zhí)行的二進制混淆矩陣的預測類 (預測標簽)。顏色越深，正確預測的標簽比例越高。良性的 rootkit 類與任何其他類之間沒有混淆，雙向的 DDos 和勒索軟件之間有一點混淆?；煜仃嚾鐖D 5(b) 所示，它表明大部分類型都可被正確分類，并且混淆不會妨礙分類。圖 5(c)顯示出對于每種混淆技術，CNN 都能預測正確的分類標簽。

該研究表明，通過使用簡單的神經(jīng)網(wǎng)絡模型，可以通過僅觀察其 EM 輻射來了解受監(jiān)控設備的狀態(tài)，并且可以確定攻擊樹莓派（運行 Linux OS）的惡意軟件類型，在測試數(shù)據(jù)集上準確率達 99.89%。此外，該研究還證明軟件混淆技術不會妨礙其分類方法。這項工作開啟了通過電磁輻射進行行為分析的新方向。

參考鏈接：

https://gizmodo.com/raspberry-pi-can-detect-malware-by-scanning-for-electro-1848339130