Antenne spürt Schadsoftware auf

Forscher*innen des französischen Forschungsverbunds INRIA haben eine neue Methode zum Aufspüren von Malware auf IoT-Geräten entwickelt. Zur Anwendung kommt eine Antenne. Dabei wird die elektromagnetische Emission des jeweiligen Prozessors gemessen, welche im Silizium durch den Stromfluss erzeugt wird. 

Im Zuge der Messung ist es möglich, Vorgänge im Inneren des Chips abzuleiten. 

Verschleierungstechniken greifen nicht

Geräte können mit der Methode von außen analysiert werden - eine Software muss nicht installiert werden. Ein weiterer Vorteil ist, dass Verschleierungstechniken, welche verhindern oder erschweren sollen, dass eine Schadsoftware erkannt wird, bei dieser Methode ins Leere laufen. 

Eine Malware kann auf diese Weise also nicht erkennen, dass sie gerade analysiert wird, und somit auch ihr Verhalten nicht ändern.

Um ihre Methode zu prüfen, haben die Forscher*innen ein Raspberry Pi mit unterschiedlicher Schadsoftware infiziert. In der Folge haben sie den zeitlichen Emissionsverlauf bei Ausführung des Programms sowie einer Kontrollgruppe von „gutartiger“ Software dokumentiert. Diese Emissionen haben sie schließlich in ein Frequenz-Histogramm übertragen. 

Fast 100 Prozent Erkennungsrate und Präzision

Im Anschluss haben die Forscher*innen Modelle mit herkömmlichen Machine-Learning-Algorithmen und neuronalen Netzen trainiert, deren Erkennungsgenauigkeit anhand verschiedener Szenarien überprüft wurde. Eines davon ist die Klassifizierung nach Typ der Schadsoftware. Konkret wurde nach DDoS, Ransomware oder Rootkit unterschieden.

Die beste Erkennungsrate und Präzision erreichte das neuronale Netz Convolutional Neural Network mit jeweils nahezu 100 Prozent.

Auch die Erkennung von Verschleierungstechniken liegt bei rund 80 Prozent. Das deutet darauf hin, dass existierende und neue Malware mit dieser Methode erkannt werden könnten.

Die Ergebnisse wurden auf der ACSAC-Konferenz veröffentlicht.