Am Beispiel Raspi: IoT-Malware durch Magnetfeldmessung und KI aufspüren

Bretonische Sicherheitsforscher weisen Angriffe auf vernetzte Geräte nach, ohne deren Software beziehungsweise Firmware zu untersuchen.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen

(Bild: Research Institute of Computer Science and Random Systems/ IRISA)

Lesezeit: 1 Min.

Ein vierköpfiges Forscherteam der Universität Rennes hat einen Versuch aufgebaut, um IoT-Malware wie das Botnetz Mirai nachzuweisen – und zwar (fast) ohne Eingriff in das von Schadsoftware befallene Gerät. Stattdessen haben die Sicherheitsexperten das Magnetfeld des (ARM-)Prozessors gemessen und diese Messwerte mit KI-Methoden analysiert.

Ein neuronales Netz (CNN) erkennt in den Magnetfeldmesswerten typische Muster, die bei der Verarbeitung der Schadsoftware durch die CPU-Kerne entstehen. Damit lässt sich laut dem Forscherteam auch Malware nachweisen, die ihre eigentliche Funktion durch Tarnung (Obfuscation) zu verschleiern versucht.

Im Versuchsaufbau diente ein Raspberry Pi 2B mit dem ARM-Prozessor Broadcom BCM2836 mit vier Cortex-A7-Kernen als Testsystem unter Linux. Darauf installierten die Sicherheitsforscher Varianten von Schadsoftware wie Mirai und Gonnacry, teilweise mit Tarnfunktionen wie Verschlüsselung.

Mit der Magnetfeldsonde Langer FR-R 0.3-3 und einem Oszilloskop wurden jeweils 2,5 Sekunden lang Messdaten mit 2 MHz Abtastrate aufgenommen. Das CNN erkannte die Ausführung der Schadsoftware-Muster in mehr als 99 Prozent der Fälle.

Testaufbau zur IoT-Malware-Jagd per Magnetfeldsensor

(Bild: Univ Rennes, CNRS, Inria, IRISA)

Ihre auf der Annual Computer Security Applications Conference (ACSAC21) präsentierten Ergebnisse sehen die Forscherinnen und Forscher als einen ersten Baustein, um IoT-Malware ohne Eingriff in die Firmware oder Software des befallenen Gerätes zu klassifizieren. Das könnte für die IT-Forensik interessant sein, aber etwa auch zur Erkennung von Tarnfunktionen.

(ciw)