Французские исследователи разработали метод, позволяющий обнаружить работу вредоносного программного обеспечения на устройствах интернета вещей без непосредственного доступа к ним. Он основан на атаке по сторонним каналам, при которой чувствительный прибор измеряет электромагнитное излучение от процессора, выполняющего вредоносный код, а затем нейросеть распознает в этих сигналах паттерны, типичные для выполнения именно этого кода.

Статья была представлена на конференции Annual Computer Security Applications Conference, общедоступный препринт опубликован в архиве препринтов HAL.

В мире существуют десятки миллиардов устройств интернета вещей (IoT), существенная часть из которых работают на базе полноценных операционных систем и даже поддерживает обновления — а значит, устройства потенциально могут загружать и исполнять вредоносный код. При этом, в отличие от компьютеров, сетевого оборудования и других типов устройств, разработчики IoT-устройств традиционно уделяют гораздо меньше внимания аспектам безопасности, поэтому в них намного легче обнаружить и использовать уязвимость, а зачастую не нужно и этого, потому что часто в гаджетах используют стандартные слабые пароли (хотя в некоторых регионах они законодательно запрещены).

В результате злоумышленники все чаще фокусируются на устройствах интернета вещей и количество их атак ежегодно увеличивается в разы.

Потенциально для защиты от вредоносного ПО можно было бы использовать антивирусы, но большая часть подобных гаджетов не имеет для этого достаточно вычислительной мощности и памяти. И даже если бы они поддерживали антивирусы, вредоносное ПО часто использует обфускацию кода или работает на уровне ядра, что затрудняет обнаружение программными методами.

Ученые из Исследовательского института компьютерных наук и случайных систем под руководством Аннели Хойзер (Annelie Heuser) предложили использовать для обнаружения вредоносного ПО в IoT-устройствах, в том числе обфусцированного, атаку по сторонним каналам. Так называют атаки, которые производятся не на саму программную (логическую) часть системы, а на ее практическую реализацию. В данном случае исследователи применили атаку по электромагнитному излучению, основанную на том факте, что при выполнении вычислений процессор генерирует электромагнитное излучение, зависящее от типа операции.

Принцип атаки, разработанной исследователями, основан на нейросети, которая обучается классифицировать запись электромагнитных сигналов, относя их к нормальным процессам или тому или иному типу вредоносного ПО. После записи сигнала он преобразуется в спектрограмму, и это изображение подается на сверточную нейросеть. Несколько отдельных нейросетевых моделей обучили определять разные параметры, такие как тип ПО (DDoS, вымогатель, руткит и нормальный, не вредоносный код), семейство вредоносной программы, тип обфускации и тому подобное.

В качестве модельного IoT-устройства исследователи использовали одноплатный компьютер Raspberry Pi 2B, работающий на основе ARM-процессора. Сигналы от процессора регистрировали с помощью электромагнитного зонда, подключенного к осцилографу, они записывали отрезки по 2,5 секунды. Запуская программы на Raspberry Pi, они записали 100 тысяч отрезков: по 3000 для 30 вредоносных программ и еще 10000 для нормальной активности. Тесты показали высокую эффективность метода. В частности, он позволил распознать тип выполняемой программы с точностью 99,82 процента.

Результаты тестирования / Duy-Phuc Pham et al. / Annual Computer Security Applications Conference, 2021

Атаку по электромагнитному излучению процессора можно проводить и для получения более ценных данных. К примеру, ранее рассказывали об успешной атаке такого типа на алгоритм шифрования AES-256.