МЕТОД ОПРЕДЕЛЕНИЯ УПАКОВАННЫХ И ЗАШИФРОВАННЫХ ДАННЫХ ВО ВСТРОЕННОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ

Югансон А.Н. Метод определения упакованных и зашифрованных данных во встроенном программном обеспечении // Научно-технический вестник информационных технологий, механики и оптики. 2020. Т. 20. № 5. С. 708–713. doi: 10.17586/2226-1494-2020-20-5-708-713

Предмет исследования. Исследование встроенного программного обеспечения на предмет наличия дефектов безопасности может быть затруднено применением различных приемов антиотладки (шифрование) и упаков- щиков кода (сжатия). Представлен обзор существующих инструментов для определения методов антиотладки. Недостатки существующих решений заключаются в применении сигнатурных методов анализа исполняемых файлов, что ограничивает область их применения количеством известных сигнатур. Существующие статисти- ческие методы, основанные на энтропийном анализе файлов, дают неоднозначный результат. Для определения способа преобразования данных предложен метод обнаружения упакованных и зашифрованных данных в исполняемом файле встроенного программного обеспечения. Метод. Экземпляр встроенного программного обеспечения представляется в виде конечной последовательности байтов, где каждый байт может принимать одно из 256 возможных значений. Предложенный метод совмещает подходы, основанные на использовании критерия согласия Пирсона для проверки гипотезы о равномерном распределении байтов в файле, а также применение метода Монте-Карло для аппроксимации числа π с целью вычисления характеристик распределе- ния байтов в файле. Чем выше точность аппроксимации числа π и чем ближе распределение байтов в файле   к равномерному, тем вероятнее применение алгоритмов шифрования для преобразования данных. Основные результаты. Показано, что предложенные критерии более чувствительны к отклонениям равномерно распре- деленной случайной величины, чем энтропийный анализ. Применение этих подходов к экспериментальной выборке файлов с различным размером, которые были подвергнуты различным алгоритмам сжатия/шифрова- ния, показало корреляции, благодаря которым, с высокой степенью уверенности, можно утверждать, какому алгоритму (сжатия или шифрования) было подвергнуто встроенное программного обеспечение. Практическая значимость. Представлен подход для определения упакованных и зашифрованных данных, полученных в ре- зультате использования различных приемов антиотладки. Предложенный метод применим как в рамках анализа вредоносного программного обеспечения, так и в рамках поиска и идентификации дефектов безопасности во встроенном программном обеспечении.

1. Langner R. Stuxnet: Dissecting a cyberwarfare weapon // IEEE Security & Privacy. 2011. V. 9. N 3. P. 49–51. doi: 10.1109/MSP.2011.67

2. Falliere N., Murchu L.O., Chien E. W32. stuxnet dossier // White paper, Symantec Corp., Security Response. 2011. V. 5. N 6. P. 29.

3. Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J.A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y. Understanding the mirai botnet // Proc. 26th USENIX Security Symposium. 2017. P. 1093–1110.

4. Kolias C., Kambourakis G., Stavrou A., Voas J. DDoS in the IoT: Mirai and other botnets // Computer. 2017. V. 50. N 7. P. 80–84. doi: 10.1109/MC.2017.201

5. Cui A. Costello M., Stolfo S.J. When firmware modifications attack: A case study of embedded exploitation // Proc. 20th Annual Network & Distributed System Security Symposium (NDSS). 2013. P. 1–13.

6. Chen D.D., Egeley M., Woo M., Brumley D. Towards automated dynamic analysis for linux-based embedded firmware // Proc. of the Network and Distributed System Security Symposium (NDSS’16). 2016. P. 1–16. doi: 10.14722/ndss.2016.23415

7. Costin A., Zaddach J., Francillon A., Balzarotti D. A large-scale analysis of the security of embedded firmwares // Proc. 23rd USENIX Security Symposium. 2014. P. 95–110.

8. Feng Q., Zhou R., Xu C., Cheng Y., Testa B., Yin H. Scalable graph-based bug search for firmware images // Proc. 23rd ACM SIGSAC Conference on Computer and Communications Security. 2016. P. 480–491. doi: 10.1145/2976749.2978370

9. Матвеева В.С. Статистические особенности данных, зашифрованных с помощью программных средств криптографической защиты информации, и способ их обнаружения // Информация и безопасность. 2015. Т. 18. № 1. С. 119–122.

10. Wu Y., Zhou Y., Saveriades G., Agaian S., Noonan J.P., Natarajan P. Local Shannon entropy measure with statistical tests for image randomness // Information Sciences. 2013. V. 222. P. 323–342. doi: 10.1016/j.ins.2012.07.049

11. Lyda R., Hamrock J. Using entropy analysis to find encrypted and packed malware // IEEE Security and Privacy. 2007. V. 5. N 2. P. 40–45. doi: 10.1109/MSP.2007.48

12. Jeong G., Choo E., Lee J., Bat-Erdene M., Lee H. Generic unpacking using entropy analysis // Proc. 5th International Conference on Malicious and Unwanted Software (MALWARE 2010). 2010. P. 98–105. doi: 10.1109/MALWARE.2010.5665789

13. Матвеева В.С. Критерий оценки содержимого файлов различных форматов на предмет их близости к случайным данным // Безопасность информационных технологий. 2015. Т. 22. № 1. С. 106–108.

14. Матвеева В.С. Новый способ различения сжатых форматов файлов от зашифрованных файлов // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 131–139.

15. Алексеев И.В., Платонов В.В. Выявление зашифрованных исполняемых файлов на основе анализа энтропии для определения меры случайности байтовых последовательностей // Проблемы информационной безопасности. Компьютерные системы. 2016. № 4. С. 74–79.

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License