电源异常可以揭示隐藏在嵌入式系统中的恶意软件

跟踪嵌入式系统中的功率波动可以捕获恶意软件的行为，或者至少揭示其存在。

恶意软件是阴险的 - 有数百万种可供攻击者选择的 - 尽管尝试了预防，但恶意软件偶尔会通过防火墙和其他安全措施。但是，北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经创造了一种方法来检测使用系统架构来阻止传统安全措施的恶意软件类型。该工具通过跟踪嵌入式系统中的功率波动来工作。

研究人员将“嵌入式系统”定义为本质上没有物理键盘的计算机 - 从智能手机到物联网。美国军方依赖于各种各样的嵌入式系统，这些系统经常被部署并预计运行十年或更长时间。

“嵌入式系统用于从我们家中的语音激活虚拟助手到发电厂中使用的工业控制系统，”北卡罗来纳州立大学电气和计算机工程助理教授Aydin Aysu解释说。“针对这些系统的恶意软件可用于夺取控制权或窃取信息。

微架构攻击是一种恶意软件，它针对系统的架构设计，以一种让外部用户控制系统并访问其数据的方式有效地劫持硬件。Spectre和Meltdown是最近（从2018年开始）这种恶意软件的两个备受瞩目的例子。与大多数恶意软件不同，这些破坏性工具利用处理器本身的架构，即数百万个晶体管协同工作以执行操作。

对于嵌入式系统来说，每一次新的攻击本质上都是一个无法修补的问题，这是一个真正的问题。

简而言之，Spectre和Meltdown利用了所有操作都需要略有不同的时间来执行的事实。例如，假设有人试图猜测 PIN，他们首先猜测“1111”到“9111”。如果前八个猜测花费相同的时间，但“9111”需要更长的时间，那么这个猜测很可能至少具有“9”的权利，攻击者可以通过这些“定时攻击”继续猜测“9111”到“9911”，然后从那里开始。

特别容易受到这些攻击的一个操作是访问内存。黑客可以让处理器推测性地执行一些代码来读取它不应该读取的部分内存。即使代码失败，它仍然可能泄漏攻击者随后可以访问和使用的数据。

捕捉微架构攻击相当困难，因为它们可能非常隐蔽且很难捕捉。“但我们已经找到了一种检测它们的方法，”Aysu说。“我们很清楚嵌入式系统正常运行时的功耗。通过查找功耗异常，我们可以判断系统中存在恶意软件 - 即使我们无法直接识别恶意软件。

研究人员表示，他们的电源监控解决方案可以整合到智能电池中，用于未来的嵌入式系统技术。对于现有技术，将需要新的即插即用硬件来应用检测工具。

这种解决方案存在一些局限性：研究人员指出，首先，他们的检测工具依赖于嵌入式系统的功率报告。当他们在实验室进行测试时，他们发现在某些情况下，如果恶意软件修改其活动以模仿“正常”电源使用模式，电源监控检测工具可能会被欺骗。

但即使发生这种情况，该技术仍然“提供了优势”，Aysu说。“我们发现，模仿正常功耗和逃避检测所需的努力迫使恶意软件将其数据传输速率减慢 86% 到 97%。简而言之，我们的方法仍然可以减少恶意软件的影响 - 即使在未检测到恶意软件的少数情况下也是如此。

该组织表示，电源异常是一种简单的防御措施，“可以帮助面向未来的嵌入式系统抵御随着相变存储器和加速器等新硬件成为主流而可能出现的漏洞”。

审核编辑：郭婷