IoT デバイス上のスティルス性マルウェアを電磁放射を用いて検出

Detecting Evasive Malware on IoT Devices Using Electromagnetic Emanations

2022/01/03 TheHackerNews — サイバー・セキュリティ研究者たちが、IoT デバイスから放出される電磁界をサイドチャネルとして使用し、難読化技術により解析が妨げられているシナリオであっても、組み込みシステムを標的とする各種マルウェアに対しる、正確な情報が得られるという新しいアプローチを提案した。

IoT デバイスは高い処理能力を備え、オペレーティング・システムを利用することもあり、脅威アクターたちにとって魅力的な攻撃対象となっている。今回の研究は、潜在的なセキュリティ・リスクを軽減するための、マルウェア解析を寄与することを目的としている。

この研究成果は、先月に開催された Annual Computer Security Applications Conference (ACSAC) で、Research Institute of Computer Science and Random Systems (IRISA) の研究者グループにより発表された。

研究者たちは論文の中で、「デバイスから測定される『電磁波』の発散は、実質的にマルウェアに検知されない。そのため、動的なソフトウェア監視とは異なり、マルウェアによる回避技術の簡単な適用は不可能だ。また、マルウェアは外部のハードウェア・レベルを制御できないため、たとえマルウェアがマシン上で最大の権限を所有していたとしても、ハードウエアの機能に依存した保護システムをダウンさせることはできない」と述べている。

目標は、サイドチャネル情報を活用して、観察された正常パターンから逸脱を検出し、システムの正常な状態と比較し。マルウェアをエミュレートした不審な動作と一致したときに警告を発することだ。

本研究で開発されたフレームワークは、対象となるデバイスに手を加える必要がないだけでなく、カーネル・レベルのルートキット /ランサムウェア/Mirai のような分散型サービス拒否 (DDoS) ボットネットなどの、ステルス性の高いマルウェアを、亜種まで含めて検出/分類することが可能である。

サイドチャネル・アプローチは3段階で構成されており、30種類のマルウェア・バイナリを実行した際の電磁波を測定するとともに、良性のビデオ/音楽/画像/カメラ関連のアクティビティを実行し、実世界のマルウェア・サンプルを分類する Convolutional Neural Network (CNN) モデルを学習する。具体的には、実行ファイルを入力とし、サイドチャネル情報だけに基づいた、マルウェアのラベルを出力する。

実験では、900 MHz quad-core ARM Cortex A7 processor と 1GBメモリを搭載した Raspberry Pi 2B をターゲット・デバイスとして選択し、オシロスコープと PA 303 BNC プリアンプを組み合わせて電磁信号を取得/増幅することで、3種類のマルウェアとファミリーを 99.82%〜99.61% の精度で効果的に予測することができた。

研究者たちは、「シンプルなニューラル・ネットワーク・モデルを使用することで、監視対象の機器の状態について、その電磁波を観察するだけで、かなりの情報を得ることができる。我々のシステムは、ランダムなジャンクの挿入/パッキング/仮想化を含む様々なコード変換/難読化に対して、その変換が前もってシステムに認識されていない場合でも、堅牢である」と述べている。

以前にも似たような記事があったと思い検索してみたら、2021年10月に「LANtenna 攻撃の論文:イーサケーブルをアンテナにしてエアギャップを無効化する?」という記事をポストしていました。ただし、前回は攻撃側で、今回は防御側です。たとえば、対象が工場であれば、そこを物理的に管理する、防御側のほうが優位だと考えられますが、甘いですかね?

%d bloggers like this: