Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng

09:20 | 09/01/2018

CSKH-01.2017 - (Tóm tắt) Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT. Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mô phỏng đầy đủ nhằm thu thập dữ liệu hoạt động của phần sụn (firmware) để phát hiện mã độc trong các thiết bị định tuyến.

Abstract- Nowadays, along with the Fourth Industrial Revolution is the rapid development of IoT devices networks. The router, which is used as a core to ensure the stability of the entire interacting process between IoT devices, has became a potential target for hackers. This fact leads to the risk of not only IoT devices’ security in particular but also the cyber security in general. In this paper, the authors propose a complete emulation method for collecting firmware’s operation data to detect malware in routers.

Xem toàn bộ bài báo tại đây

Tài liệu tham khảo

[1] A. Costin, J. Zaddach, A. Francillon, and D. Balzarotti, “A Large-Scale Analysis of the Security of Embedded Firmwares”, USENIX Security, pp. 95-110, 2014.

[2] C. Kruegel and Y. Shoshitaishvili, “Using Static Binary Analysis To Find Vulnerabilities And Backdoors In Firmware”, Black Hat USA, 2015.

[3] D. Davidson, B. Moench, S. Jha, and T. Ristenpart, “FIE on Firmware, Finding vulnerabilities in embedded systems using symbolic execution”, USENIX Security, 2013.

[4] T. Ronghua, “An Integrated Malware Detection and Classification System”, No. Ph. D. Deakin University, 2011.

[5] A. Moser, C. Kruegel, and E. Kirda, “Limits of Static Analysis for Malware Detection”, Computer security applications conference, pp. 421-430, 2007.

[6] K. Rieck, T. Holz, C. Willems, P. Düssel, and P. Laskov, “Learning and Classification of Malware Behavior”. Springer Berlin Heidelberg, pp. 108-125, 2008.

[7] J. Zaddach, L. Bruno, A. Francillon, and D. Balzarotti, Avatar: “A Framework to Support Dynamic Security Analysis of Embedded Systems Firmwares”, NDSS. 2014.

[8] D. Chen, M. Egele, M. Woo, and D. Brumley, “Towards Automated Dynamic Analysis for Linux-based Embedded Firmware”, ISOC Network and Distributed System Security Symposium (NDSS), 2016.

[9] L. Frédéric, “An introduction to I 2 C and SPI protocols”, IEEE Instrum. Meas. Mag, vol. 12, pp. 8–13, 2009.

[10] E. Volpi, F. Sechi, and T. Cecchini, “System study for a head-up display based on a flexible sensor interface”, Sensors and Microsystems, Springer Netherlands, pp. 413–417, 2010.

[11] Firmware mod kit [Online] https://code.google.com/archive/p/firmware-mod-kit/.

[12] Binwalk [Online] http://binwalk.org .

[13] J. Zaddach and A. Costin, “Embedded Devices Security and Firmware Reverse Engineering”, Black-Hat USA, 2013.

[14] T. N. Phú, N. H. Trung, and N. Q. Dũng, “Phát triển công cụ dịch ngược firmware trên thiết bị định tuyến”, SOIS, 2016.

[15]  https://www.busybox.net.

[16]  https://strace.io.

[17] F. Fuentes and C. Kar, “Ethereal vs. Tcpdump: a comparative study on packet sniffing tools for educational purpose”, J. Comput. Sci. Coll. Consort. Comput. Sci. Coll. USA, Apr. 2005.

[18] F. Bellard, “QEMU, a fast and portable dynamic translator”, USENIX Annual Technical Conference, FREENIX Track, pp. 41-46, 2005.

[19] Linux/Mirai [Online] http://www.malwaremustdie.org.