论文部分内容阅读
随着信息社会的高速发展,任何事物都有机会通过网络互连。包含家用路由器、IP摄像头无线打印机等在内的物联网设备,已经成为了网络构建中重要的一环。然而近年来物联网设备频频遭到黑客利用,形成僵尸网络并发动DDoS网络攻击,这无疑也使得物联网设备的安全问题备受关注。安全性的缺失可能是市场竞争激烈的结果,因为进入市场的时间是至关重要的,竞争给设计和生产成本带来了巨大的压力,并强制缩短发布时间。供应商试图提供尽可能多的特性来吸引客户,而安全性问题就常常被忽略。为了提高设备的安全水平,我们需要对设备固件进行强化,那么首先应该做的就是挖掘固件中的漏洞,并交由厂商安全人员进行修复,并发布安全的新版本固件供用户更新。但不同于传统的程序分析,几乎没有现成的商用工具来专门解决固件分析问题,由于物联网设备数量大、种类多,学术上已有的一些小规模分析技术或框架也不足以很好的解决问题,提出一种针对多种固件的大规模自动化分析框架十分必要。当前的产业链现状是,不同的设备厂商可能选择同一个分包商来开发组件,而且同一个设备厂商的软件也可能由多个分包商开发。由于分包商依赖的开发工具、开发包或者提供的库没有统一标准,不同品牌的设备可能运行相同或者类似的固件以及包含相同的第三方库,如果这些共享的可执行文件或库文件含有漏洞,则很有可能会对多种不同设备造成影响。因此,对固件的同源分析能通过发现不同固件的开发来源,来寻找是否有上游漏洞向下游的传播,也能从下游的某一个漏洞逆推出是否上游也存在。所以固件的同源分析对固件的安全研究也有重大意义。本文的主要工作如下:·以Netgear厂商和D-Link厂商官网提供的所有产品固件构建了含有4459个不同固件的数据集,使用网络爬虫和多线程下载器获取固件镜像到本地,然后以自动化的方式进行解包提取根文件系统和模拟,构建大规模自动化的分析环境。·对嵌入式设备的逻辑漏洞挖掘进行威胁建模,指出基于符号执行的漏洞挖掘具有不可自动化和难以完成大规模分析任务的不足之处,并提出了一种基于模糊测试的漏洞挖掘方法,成功发现两个已知漏洞和两个未知漏洞。·对全部1498个成功提取根文件系统的固件中的二进制可执行文件和二进制库文件进行二进制聚类,并对实验结果进行了说明,证明了这种方法对于同源分析具有很高的参考价值和意义。