近期,国防科技大学计算机学院在固件漏洞挖掘方向取得新成果。团队深挖固件漏洞根源与分析方法,最新研究工作“利用全系统重放的基于程序状态异常判定的增强固件漏洞挖掘方法”被网络与信息安全领域国际会议ISC 2022接收,极大的增强了现有针对固件漏洞模糊测试的速度,并且拓展了漏洞挖掘的种类。Information Security Conference(ISC)是中国计算机学会推荐的网络与信息安全C类国际会议。
题目
Anatomist: Enhanced Firmware Vulnerability Discovery Based on Program State Abnormality Determination With Whole-system Replay
作者
Runhao Liu, Bo Yu, Baosheng Wang, Jianbin Ye
主要内容
随着嵌入式设备广泛的渗透在社会生活和生产场景中,固件漏洞往往会对现实生活造成严重破坏,如AMNESIA:33、NAME:WRECK等漏洞。然而,固件漏洞挖掘仍然面临着如下困难。固件分布平台广、使用指令集多样;固件漏洞十分复杂,漏洞触发过程涉及多次交互;漏洞行为隐蔽,如信息泄漏、命令注入等漏洞;程序分析方法受限,固件程序运行在物理资源有限的嵌入式环境下,导致现有部分程序方法无法应用。
国防科技大学计算机学院的硕士研究生刘润昊、叶健彬在国防科技大学研究员王宝生、副研究员喻波的联合指导下,利用全系统重放分析方法,提出了一种基于程序状态异常判定的增强固件漏洞挖掘方法--Anatomist。程序状态包括程序内存、寄存器以及程序语义信息,相比于模糊测试技术依赖的程序执行异常信号,其更加贴近漏洞产生根源,更能够为漏洞检测与挖掘提供丰富的信息。
如图一所示,Anatomist首先全系统地记录固件执行过程,然后全系统地重放这一过程。在重放过程中,Anatomist自动化地污点标记网络保温输入并记录目标程序的执行轨迹。为了展示本工作的有效性,我们定义了两类程序危险操作,分别对应着内存破坏类内存溢出漏洞以及逻辑类命令注入漏洞。在重放期间,如果Anatomist发现目标软件正在执行危险操作并且此危险操作受网络输入影响,那么便记录相关信息作为危险操作候选。
在获取危险操作候选后,Anatomist根据之前记录的程序轨迹执行单路径符号化追踪。当符号执行命中记录的危险操作候选时,提取当前PC值下的符号化程序状态,并判断当前约束是否满足程序状态异常条件。如果发现满足程序状态异常条件,则判定当前代码将导致程序状态异常,从而导致漏洞产生。
图一 Anatomist的系统架构图
相比于模糊测试技术,Anatomist针对固件漏洞挖掘方法的增强体现在两个方面。首先,Anatomist能够发现程序执行路径上未被触发的漏洞。漏洞触发不仅需要程序执行路径经过漏洞点,还需要程序输入满足特定漏洞条件。那么就存在程序执行过程经过漏洞点,但是程序输入不满足漏洞条件,此时漏洞未被触发,基于程序异常信号的模糊测试技术会遗漏此类漏洞,而Anatomist基于程序状态异常判定能够检测出此类漏洞。其次,Anatomist不仅能够发现内存破坏类漏洞,还能够发现不影响程序正常执行异常的逻辑类漏洞,而模糊测试技术无法检测此类漏洞。
我们将Anatomist与最先进的固件漏洞挖掘工具FirmAFL在FirmAFL论文测试集上进行比较,实验结果显示Anatomist对漏洞发现速度平均提升了7倍以上,实现结果说明了模糊测试技术往往较早的经过了漏洞代码位置,然而仍会消耗大量资源来使得程序输入达到漏洞条件来造成程序状态异常。此外,Anatomist还在3种物联网设备上发现3个零日漏洞。
原文始发于微信公众号(ipasslab):利用全系统重放的基于程序状态异常判定的增强固件漏洞挖掘方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论