Untersuchung LLM-gestützter Verfahren zur Analyse eingebetteter Firmware auf bekannte und unbekannt Sicherheitslücken
Art der Arbeit: Bachelorarbeit
Fachlicher Hintergrund:
Controllerbausteine sind wesentliche Komponenten von Industrie- und Gebäudeautomation. Die in ihnen enthaltene Firmware soll für einen effizienten und sicheren Betrieb sorgen. Fehler und Sicherheitslücken können jedoch enorme Schäden verursachen. Problematisch dabei sind Systemlaufzeiten über Jahrzehnte hinweg. In dieser Zeit werden sich neue Angriffsmöglichkeiten ergeben haben. Systeme werden an ein Netzwerk angeschlossen, Softwarefehler werden gefunden, Konfigurationen werden verändert und Schutzmaßnahmen geraten in Vergessenheit. Updates während der Laufzeit der Systeme sind eher untypisch. Eine Untersuchung der Firmware auf mittlerweile bekannt gewordene Sicherheitslücken ist dringend angeraten. Firmware liegt dabei oftmals nur als Binary vor und muss für eine Untersuchung häufig sogar umständlich aus dem Gerät extrahiert werden.
Eine Untersuchung kann beispielsweise wie folgt aussehen:
- Bekannte Vulnerabilities werden in der CVE Datenbank oder anderen Bug-Reports gesammelt.
- Relevante Libraries werden gesucht.
- Patterns und Function Call Graphs (FCG) werden erzeugt.
- Die Firmware wird mit Hilfe der Patterns und der FCGs auf die gefundenen Vulnerabilities hin untersucht.
Es ist zu beachten, dass es etliche Architekturen, Compiler, Compiler-Optionen und -Versionen und tausende Libraries gibt, die eventuell verwendet wurden. Die Rate mit der neue CVE Einträge entstehend, ist aktuell stark angestiegen. Die häufig eingesetzten Tools Ghidra, OpenOCD, Radare, IDA/pro usw. lassen sich mittels Model Context Protocol (MCP) hervorragend von einer KI, in der Regel LLM, fernsteuern. Der damit einhergehende Produktivitätsgewinn gilt im übrigen genauso für potentielle Angreifer. Wir wollen ihnen möglichst zuvorkommen.
Aufgabenbeschreibung:
Im Rahmen der Arbeit soll der beschriebene Prozess zur Untersuchung von Firmware genauer untersucht und optimiert werden.
Folgende Fragestellungen könnten von Interesse sein:
- Wie stark sind LLMs aktuell bei der Analyse von Firmware mit und ohne Zugriff auf die genannten Tools.
- Wie gut lässt sich der Vorgang automatisieren?
- Welches Know How muss ein potentieller Angreifer haben?
- Wie hoch ist das Risiko durch anfällige Firmware aktuell?
- Welche Kontextinformationen sind hilfreich für die Analyse?
- Wie kann sinnvoller Kontext geeignet übergeben werden?
- Wie gut funktioniert der beschriebene Prozess im Vergleich zu einer rein LLM-gesteuerten Analyse?
Mögliche Arbeitsschritte:
- Einarbeitung in Firmware-Entwicklungsprozess
- Einarbeitung in Prozess des Reverse Engineering und die dort verwendeten Tools und Methoden
- Durchführung einer Untersuchung
- Entwurf und Beschreibung eines Prozesses zur Automatisierung von Untersuchungen
- Finden geeigneter Qualitätsparameter
- Vergleich mit alternativen Ansätzen
- Experimente und Auswertung
Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich.
Literatur und Ressourcen:
- Crawford, Brian, Justin Phillips, and Patrick McClure. "Automatically Attacking Software Reverse Engineering AI Agents." arXiv preprint arXiv:2605.30667 (2026).
- Strout, Benjamin. The Vulnerability Researcher's Handbook: A comprehensive guide to discovering, reporting, and publishing security vulnerabilities. Packt Publishing Ltd, 2023.
- Kouser, Areeba, Muhammad Siddique, and Abiha Abbas. "Introduction to Firmware Reverse Engineering for IoT Devices Using Ghidra and Binwalk." Saudi J Eng Technol 11.5 (2026): 438-449
- Eagle, Chris, and Kara Nance. The Ghidra Book: The Definitive Guide. no starch press, 2020.
- Archibald, Neil, and Ruben Thijssen. "LLM Agent-Assisted Reverse Engineering with Quantitative Readability Metrics." arXiv preprint arXiv:2606.06838 (2026).
- “Automatisierte CVE-Berichtsanalyse mit LLMs zur signaturbasierten Schwachstellenerkennung”, Pascal Pischel, Bachelorarbeit, Universität Rostock, 2026
- “Hardware security - Automated firmware analysis of OT devices for known vulnerabilities”, Md Towhidul Ahmed, Masterarbeit, Universität Rostock, 2025
Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)
Voraussetzungen: Keine besonderen. Erste Erfahrungen in der Thematik sind von Vorteil.
