Une équipe de quatre chercheurs de l’université de Rennes a mis en place un essai pour détecter les logiciels malveillants IoT comme le botnet Mirai – et ce (presque) sans intervention dans l’appareil infecté par le logiciel malveillant. Au lieu de cela, les experts en sécurité ont mesuré le champ magnétique du processeur (ARM) et analysé ces valeurs mesurées à l’aide de méthodes d’intelligence artificielle.

Un réseau neuronal (CNN) reconnaît dans les valeurs de mesure du champ magnétique des modèles typiques qui apparaissent lors du traitement du logiciel malveillant par les noyaux du processeur. Selon l’équipe de chercheurs, cela permet également de détecter les logiciels malveillants qui tentent de dissimuler leur véritable fonction en se camouflant (obfuscation).

Raspi comme honeypot

Dans le cadre de l’expérience, un Raspberry Pi 2B équipé du processeur ARM Broadcom BCM2836 à quatre cœurs Cortex-A7 a servi de système de test sous Linux. Les chercheurs en sécurité y ont installé des variantes de logiciels malveillants comme Mirai et Gonnacry, en partie avec des fonctions de camouflage comme le cryptage.

Des données de mesure ont été enregistrées pendant 2,5 secondes à chaque fois avec un taux d’échantillonnage de 2 MHz à l’aide de la sonde de champ magnétique Langer FR-R 0.3-3 et d’un oscilloscope. Le CNN a détecté l’exécution des modèles de logiciels malveillants dans plus de 99 % des cas.

Les chercheurs considèrent leurs résultats, présentés lors de l’Annual Computer Security Applications Conference (ACSAC21), comme une première brique permettant de classer les malwares IoT sans intervenir sur le firmware ou le logiciel de l’appareil infecté. Cela pourrait être intéressant pour la criminalistique informatique, mais aussi, par exemple, pour la détection de fonctions de camouflage.