Towards Architecture-Independent Function Call Analysis for IoT Malware

Dieses Kapitel geht auf die Herausforderungen bei der Analyse von IoT-Malware ein und konzentriert sich auf die Inkonsistenzen in Function Call Sequence Graphs (FCSGs), die durch unterschiedliche CPU-Architekturen und Compiler-Optimierungen verursacht werden. Die Autoren schlagen eine Methode vor, um die Konsistenz von FCSGs zu verbessern, indem Funktionen entfernt werden, die nicht im ursprünglichen Quellcode aufgerufen werden, wie Initialisierungsroutinen und architekturspezifische Funktionen. Durch Experimente zeigen sie, dass ihre Methode diese hinderlichen Funktionen effektiv beseitigt und die Zuverlässigkeit funktionaler Analysen über verschiedene Architekturen hinweg erhöht. Das Kapitel untersucht auch verwandte Arbeiten in graphenbasierten Darstellungen für die Analyse von binärem Code und diskutiert die Beschränkungen und zukünftigen Richtungen der vorgeschlagenen Methode. Darüber hinaus bewerten die Autoren die Ähnlichkeit zwischen neuen FCSGs, die aus verschiedenen Binärdateien erstellt wurden, und vergleichen sie mit herkömmlichen FCSGs, wobei sie die Verbesserungen bei der Reflexion der Ähnlichkeit auf Quellenebene hervorheben. Das Kapitel schließt mit einer Diskussion über die möglichen Anwendungen der vorgeschlagenen Methode auf Malware-Binärdateien in der realen Welt und die Notwendigkeit weiterer Forschung, um die verbleibenden Beschränkungen anzugehen.