Onderzoekers van de North Carolina State University en de University of Texas in Austin hebben een techniek ontwikkeld voor het detecteren van soorten malware die de architectuur van een systeem gebruiken om traditionele beveiligingsmaatregelen te dwarsbomen. De nieuwe detectiebenadering werkt door stroomfluctuaties in embedded systemen te volgen.

"Geïntegreerde systemen zijn in feite elke computer zonder fysiek toetsenbord - van smartphones tot Internet of Things-apparaten, " zegt Aydin Aysu, co-auteur van een paper over het werk en een assistent-professor elektrische en computertechniek bij NC State. "Geïntegreerde systemen worden overal gebruikt, van de spraakgestuurde virtuele assistenten in onze huizen tot industriële controlesystemen zoals die in energiecentrales worden gebruikt. En malware die zich op die systemen richt, kan worden gebruikt om de controle over deze systemen over te nemen of informatie te stelen."

Het gaat om zogenaamde micro-architecturale aanvallen. Deze vorm van malware maakt gebruik van het architectonisch ontwerp van een systeem, het effectief kapen van de hardware op een manier die externe gebruikers controle over het systeem en toegang tot de gegevens geeft. Spectre en Meltdown zijn spraakmakende voorbeelden van micro-architecturale malware.

"Door de aard van micro-architecturale aanvallen zijn ze erg moeilijk te detecteren, maar we hebben een manier gevonden om ze te detecteren. " zegt Aysu. "We hebben een goed idee van hoe het stroomverbruik eruitziet als embedded systemen normaal werken. Door te zoeken naar afwijkingen in het stroomverbruik, we kunnen zien dat er malware in een systeem zit, zelfs als we de malware niet direct kunnen identificeren."

De stroombewakingsoplossing kan worden geïntegreerd in slimme batterijen voor gebruik met nieuwe embedded systeemtechnologieën. Er zou nieuwe "plug-and-play"-hardware nodig zijn om de detectietool toe te passen op bestaande embedded systemen.

Er is nog een beperking:de nieuwe detectietechniek is gebaseerd op de vermogensrapportage van een embedded systeem. Bij laboratoriumtesten, onderzoekers ontdekten dat - in sommige gevallen - de detectietool voor stroombewaking voor de gek gehouden zou kunnen worden als de malware zijn activiteit aanpast om "normale" stroomverbruikspatronen na te bootsen.

"Echter, zelfs in deze gevallen biedt onze techniek een voordeel, " zegt Aysu. "We ontdekten dat de inspanning die nodig was om het normale stroomverbruik na te bootsen en detectie te ontwijken, malware dwong om de gegevensoverdrachtsnelheid met tussen 86 en 97 procent te vertragen. Kortom, onze aanpak kan nog steeds de effecten van malware verminderen, zelfs in die paar gevallen waarin de malware niet wordt gedetecteerd.

"Dit document demonstreert een proof of concept. We denken dat het een opwindende nieuwe benadering biedt voor het aanpakken van een wijdverbreide beveiligingsuitdaging."

De krant, "Power-anomalieën gebruiken om ontwijkende micro-architecturale aanvallen in ingebedde systemen te detecteren, " zal worden gepresenteerd op het IEEE International Symposium on Hardware Oriented Security and Trust (HOST), wordt gehouden van 6-10 mei in Tysons Corner, Va. Eerste auteur van het artikel is Shijia Wei, een doctoraat student aan de UT-Austin.