Leveraging side-channel signals for IoT malware classification and rootkit detection (Analyse de malware en utilisant des techniques d’attaques par canaux auxiliaires) Pham, Duy-Phuc - (2022-12-16) / Universite de Rennes 1 Leveraging side-channel signals for IoT malware classification and rootkit detection
| |||
Langue : Directeur(s) de thèse: Fouque, Pierre-Alain Discipline : Informatique Laboratoire : IRISA Ecole Doctorale : MATHSTIC Classification : Informatique Mots-clés : Dispositifs IoT, systèmes embarqués, classification des malwares, détection des rootkits, emmanation électromagnétique, radio logicielle
| |||
Résumé : L'Internet des objets est constitué de périphériques dont le nombre et la complexité augmentent de manière exponentielle. Ils utilisent une variété de logiciels et de micrologiciels personnalisés sans tenir compte des problèmes de sécurité, ce qui en fait une cible attrayante pour les cybercriminels. La détection des malware reposant sur des caractéristiques statiques et dynamiques se heurte encore à diverses difficultés, telles que les techniques d'empaquetage ou d'obfuscation, ou la possibilité d'échapper à la surveillance sandbox. Contrairement aux systèmes informatiques et aux serveurs, les systèmes cyber-physiques embarqués peuvent manquer de ressources ou d'accessibilité pour les outils anti-malware. Nous présenterons des méthodes qui ne nécessitent pas d'altération du dispositif et qui peuvent être déployées de manière indépendante sans aucune surcharge en exploitant l'émanation électromagnétique par radio. Les contributions de cette thèse de doctorat sont séparées en deux parties différentes. Premièrement, nous présentons une nouvelle approche qu'un analyste malware peut utiliser pour recueillir des informations exactes sur le type et l'identité des malwares, même en présence de techniques d'obfuscation qui peuvent entraver l'analyse. De plus, nous présentons le système ULTRA à faible coût, qui est la première solution de type "wave-and-play", où il suffit d'agiter une sonde sur le dispositif pour voir instantanément quel rootkit est infecté. ULTRA a une spécification qui facilite la découverte des rootkits dans un système en temps réel sans qu'il soit nécessaire de modifier le dispositif ou d'exiger des logiciels en surveillant deux types distincts d'appâts qui sont capables d'exposer le comportement des rootkits furtifs. Abstract : The Internet of Things is constituted of devices that are exponentially growing in number and in complexity. They utilize a variety of customized software and firmware without consideration of security concerns, making them an appealing target for cybercriminals. Malware detection relying on static and dynamic features still have various difficulties such as packer or obfuscation techniques, or sandbox monitoring can be evaded. Unlike computer systems and servers, embedded cyber physical system may lack resources or accessibility for anti-malware tools. We will present methods that do not require device alteration while they can be deployed independently without any overhead by leveraging electromagnetic emanation over the air. The contributions of this PhD thesis are separated into two different parts. First, we present a novel approach that a malware analyst can use to gather exact information about the type and identity of malware, even in the presence of obfuscation techniques that may hinder analysis. Further we present low-cost ULTRA framework which is the first wave-and-play solution, where one can simply wave a probe over the device to instantly see what rootkit is infected. ULTRA has a specification that facilitates the discovery of rootkits in a system in real-time without the need for device alteration or software requirements by monitoring two distinct types of baits that are capable of exposing the behavior of stealthy rootkits. |