Analyse automatique de logiciel malveillant au niveau matériel – AHMA

Grâce à notre approche, un analyste de logiciels malveillants est en mesure d'obtenir des connaissances précises sur le type et l'identité des logiciels malveillants, même en présence de techniques d'obscurcissement des logiciels qui peuvent empêcher une analyse binaire statique.

Nous avons enregistré une grande quantité de traces d'émanation électromagnétique provenant d'un dispositif IoT en métal nu infecté par divers échantillons de logiciels malveillants en circulation. Nous avons prétraité ces enregistrements et les utilisons pour entraîner différents modèles de réseaux neuronaux.
Notre méthode ne nécessite aucune modification sur l'appareil cible. Ainsi, elle peut être déployée indépendamment des ressources disponibles, et donc même sur des systèmes peu performants, sans aucun surcoût.
De plus, notre approche présente l'avantage de ne pas être facilement détectée et échappée par l'attaquant de logiciels malveillants.

Dans nos expériences, l'ensemble des données de test constitue plus de 19 000 traces de mesures électromagnétiques sur lesquelles nous avons pu prévoir quatre classes de logiciels malveillants génériques (et une classe bénigne) avec une précision de 99,66 %.
De plus, nos résultats montrent que nous sommes capables de classer des échantillons de logiciels malveillants modifiés avec des techniques d'obscurcissement invisibles pendant la phase de formation et de déterminer quel type d'obscurcissement a été appliqué au binaire, ce qui rend notre approche particulièrement utile pour les analystes de logiciels malveillants.

Nous avons démontré dans cet article qu'en utilisant des modèles simples de réseaux neuronaux, il est possible d'obtenir des informations considérables sur l'état d'un appareil surveillé, en observant uniquement ses émanations électromagnétiques.
Nous avons en effet pu non seulement détecter mais aussi déterminer le type de divers logiciels malveillants infectant un Raspberry Pi 2B fonctionnant sous un système d'exploitation GNU/Linux complet, avec une précision de 99,66 % sur un ensemble de données de test comprenant 19200 traces enregistrant l'activité de 28 binaires de logiciels malveillants différents (et un binaire générant une activité bénigne aléatoire). Nous avons démontré que les techniques d'obscurcissement des logiciels n'entravent pas notre approche de classification. Plus encore, nous avons montré qu'il était possible de détecter des obscurcissements particuliers et même de les classer entre eux (ou des groupes de techniques d'obscurcissement).


Compte tenu de nos résultats expérimentaux, les analystes de logiciels malveillants (défenseurs) peuvent donc profiter de notre méthodologie pour obtenir des informations sur la variante, le type, l'analyse médico-légale et/ou l'évolution des logiciels malveillants, en particulier dans le contexte où les systèmes logiciels sont défaillants (en raison de l'évasion des logiciels malveillants) ou ne peuvent pas être appliqués (en raison de ressources limitées sur le dispositif embarqué).

Bien que ces résultats aient été obtenus dans une configuration contrôlée, comme c'est généralement le cas avec l'analyse des logiciels malveillants,
nous pensons que notre méthodologie peut être facilement extensible pour effectuer des analyses en temps réel.

Des directions intéressantes pourraient être l'investigation d'autres plateformes, pour évaluer dans quelle mesure les connaissances acquises par un modèle sur un appareil peuvent être transférées à un autre.

* NDSS 2021, conférence Rank 1, (actuellement en cours de révision, a passé le premier tour de sélection de la révision). Titre : «Analyse des logiciels malveillants hors dispositif : exploiter l'émanation électromagnétique des dispositifs IoT pour effectuer une classification d'apprentissage approfondie«.
* RESSI 2019 : présentation pour les projets de démarrage
* Présentation à la journée d'analyse des logiciels malveillants mai 2019, IRISA, Rennes
* Présentation du projet au EDF, mai 2019

L'Internet des objets (IoT) influencera la majorite´ de l'infrastructure de notre vie quotidienne.
L'IoT n'en est qu'à ses débuts, mais le nombre d'appareils connectés à Internet commence à exploser (probablement 50 milliards d'ici 2020).
Cenpendant, les menaces de se´curite´ deviennent un proble`me de grande envergure. Nous nous concentrons ici particulie`rement sur la se´curisation des nœuds IoT contre les menaces de logiciels malveillants (i.e. malware) qui peuvent gravement perturber le quotidien des utilisateurs. Puisque les techniques de surveillance dites logiciels peuvent encore e^tre contourne´es par des attaques sophistique´es, nous proposons un framework d'analyse automatise´ (AHMA) non intrusif et difficilement contro^lable ou de´sactivable par les logiciels malveillants. AHMA utilise les informations des canaux cache´s du mate´riel (i.e. de l'IoT) pour de´tecter les infe´ctions par un logiciel malveillant (normale, mute´ ou me^me inconnu). Ce framwork comprend des techniques d'apprentissage automatique supervisées et non supervisées pour classer les logiciels malveillants déjà connus (mutés) ainsi qu'inconnus. Comme source d'information par canaux cachés, nous allons d'abord nous concentrer sur la consommation d'énergie et / ou l'émanation électromagnétique qui est capturée après un démontage des appareils.
Dans cette proposition, nous couvrons trois études de cas concrets:

1) Appareils IoT dédiés
Cette première étude de cas couvre les routeurs domestiques et les appareils IoT dédiés à la facilitation de la vie quotidienne (e.g. thermostat intelligent, interrupteurs et ampoules connectés, capteur/déclencheurs de mouvement et température...). Ces périphériques n'ont souvent aucune interface utilisateur et n'exécutent généralement pas de système d'exploitation standard prenant en charge les outils de sécurité couramment utilisés (par exemple, antivirus, pare-feu).
Dans cette étude, nous nous appuierons sur des échantillons de logiciels malveillants publiés en source libre et/ou en collaborons avec des chercheurs qui recueillent des échantillons de logiciels malveillants IoT à l'aide d'appareil dit "pots de miel". Par exemple, l'un des malwares DDoS (dénis de service distribué) les plus répondus et en source libre est Mirai. Au début de 2017, le bilan été estimé à plus d'un demi-millions d'appareils infectés par ce malware.

2) Voitures connectées
Au début de l'année 2018, une variante de Mirai, appelée Mirai Okiru, ciblait les appareils IoT basés sur les processeurs ARC, qui sont largement utilisés dans les applications automobiles. Par conséquent, les ressources connectées d'une voiture peuvent à leurs tours être exploités pour effectuer des attaques DDoS. De plus, les logiciels malveillants peuvent directement attaquer le système automobile. Dans ce contexte, la motivation des attaquants pourrait être de pénétrer la vie privée des conducteurs, de rançonner, voler, saboter, blesser des personnes et des biens ou tout simplement de créer des congestions dans le trafique routier.

3) Téléphones / appareils mobiles
Au cours de la dernière décennie, Android est devenu l'environnement d'exploitation le plus populaire pour les appareils intelligents, avec près de 85% de part de marché au premier trimestre de 2017. Cette popularité en fait une cible très attrayante pour le piratage informatique. Cependant, son marché d'applications ouvert et son mécanisme de révision laxiste ont conduit à une prolifération rapide des logiciels malveillants ainsi que des menaces de sécurité.
Dans cette étude de cas, nous visons des appareils modernes tels que Nexus = 4 ou Galaxy = S III.

Notre nouveau framework est d'une importance et d'un impact importants pour les industries, et donc pour les utilisateurs de´sirant de be´ne´ficier d'une protection accrue.