Investigadores de la Universidad de Shandong y la Universidad Normal de Hubei, la Universidad de Tulane y la Universidad de Texas en Arlington publicaron un artículo técnico titulado “Sobre la viabilidad del desempaquetado de malware mediante perfiles de bucle asistidos por hardware”. Este documento se incluyó en el reciente 32º Simposio de seguridad de USENIX.
Resumen
“Los contadores de rendimiento de hardware (HPC) son registros integrados en los procesadores modernos para contar la aparición de diversos eventos de microarquitectura. Medir los valores de HPC es una forma rentable de caracterizar comportamientos dinámicos del programa. Debido a la facilidad de uso y las ventajas a prueba de manipulaciones, el uso de HPC junto con modelos de aprendizaje automático para abordar problemas de seguridad está aumentando en los últimos años. Sin embargo, últimamente se ha cuestionado la idoneidad de los HPC para la seguridad a la luz de preocupaciones sobre el no determinismo: los errores de medición causados por el deslizamiento de interrupciones y la multiplexación por división de tiempo pueden socavar la efectividad del uso de HPC en aplicaciones de seguridad.
Con estas precauciones en mente, exploramos formas de controlar la naturaleza no determinista de los eventos de hardware para el desempaquetado de malware, lo cual es un desafío de larga data en el análisis de malware. Nuestra investigación está motivada por dos observaciones clave. En primer lugar, el proceso de descompresión, que implica costosas iteraciones de descifrado o descompresión, puede incurrir en desviaciones identificables en eventos de hardware. En segundo lugar, la creación de perfiles de HPC centrada en bucles puede minimizar las imprecisiones causadas por el deslizamiento de interrupciones y la multiplexación por división de tiempo. Por lo tanto, utilizamos dos mecanismos ofrecidos por las CPU Intel (es decir, muestreo basado en eventos precisos (PEBS) y registro de última rama) para desarrollar una técnica de descompresión genérica asistida por hardware, llamada LoopHPC. Ofrece una nueva solución resistente a la ofuscación para identificar el código original a partir de múltiples capas "escritas y luego ejecutadas". Nuestros experimentos controlados demuestran que los LoopHPC pueden obtener valores de HPC precisos y consistentes en diferentes arquitecturas de CPU y sistemas operativos de Intel”.
Encuentre el documento técnico y las diapositivas. esta página. Publicado en agosto de 2023.
Cheng, Binlin, Erika A. Leal, Haotian Zhang y Jiang Ming. "Sobre la viabilidad de desempaquetar malware mediante perfiles de bucle asistidos por hardware". En 32º Simposio de seguridad de USENIX (USENIX Security 23), págs. 7481-7498. 2023.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://semiengineering.com/hardware-assisted-malware-analysis/
