基于同源性分析的嵌入式设备固件漏洞检测

嵌入式设备的制造过程研产分离,导致不同的固件可能包含相同的第三方库,进而相同设备的不同版本甚至是不同设备的固件中都存在大量相同的已公开漏洞。针对该问题,基于第三方库同源性分析提出一种嵌入式设备固件漏洞检测方法,为固件漏洞修复提供参考,减少不必要的重复分析。通过对固件分类,并采用二进制差量分析、字符串常量匹配、模糊哈希3种方法分析第三方库同源性,从而检测同类固件中存在的漏洞。实验结果表明,该方法能够有效检测D-Link系列路由器固件中的缓冲区溢出和越界漏洞,以及Linksys系列路由器固件中的远程命令注入漏洞。     

智能IoT固件安全研究样本库的设计与实现

随着物联网设备的爆发式增长,人们对物联网设备的安全性也愈发重视,大量研究人员对物联网设备的安全性进行研究。为了给物联网固件安全研究提供分析和实验样本,本文广泛搜集、整理了主流物联网厂商的设备固件,设计了固件信息分析与提取方法对收集的固件进行处理,最后使用Django开源Web应用框架实现了可视化的固件样本管理系统,为相关物联网固件安全研究提供有力支撑。     

基于物联网设备局部仿真的反馈式模糊测试技术

近几年物联网设备数量飞速增长, 随着物联网的普及, 物联网设备所面临的安全问题越来越多。与物联网设备相关的安全攻击事件中, 危害最大的是利用设备漏洞获得设备最高权限, 进而窃取用户敏感数据、传播恶意代码等。对物联网设备进行漏洞挖掘, 及时发现物联网设备中存在的安全漏洞, 是解决上述安全问题的重要方法之一。通过模糊测试可有效发现物联网设备中的安全漏洞, 该方法通过向被测试目标发送大量非预期的输入, 并监控其状态来发现潜在的漏洞。然而由于物联网设备动态执行信息难获取以及模糊测试固有的测试深度问题, 使得当前流行的反馈式模糊测试技术在应用到物联网设备中面临困难。本文提出了一种基于物联网设备局部仿真的反馈式模糊测试技术。为了获取程序动态执行信息又保持一定的普适性, 本文仅对于不直接与设备硬件交互的网络服务程序进行局部仿真和测试。该方法首先在物联网设备的固件代码中自动识别普遍存在并易存在漏洞的网络数据解析函数, 针对以该类函数为入口的网络服务组件, 生成高质量的组件级种子样本集合。然后对网络服务组件进行局部仿真, 获取目标程序代码覆盖信息, 实现反馈式模糊测试。针对 6 个厂商的 9 款物联网设备的实验表明, 本文方法相比 FirmAFL 多支持 4 款物联网设备的测试, 平均可以达到 83.4%的函数识别精确率和 90.1%的召回率, 针对识别得到的 364个目标函数对应的网络服务组件共触发 294 个程序异常并发现 8 个零日漏洞。实验结果证明了我们方法的有效性和实用性。     

二进制代码相似度分析及在嵌入式设备固件漏洞搜索中的应用

在当今“万物互联”的时代,嵌入式系统逐渐成为接入云端的重要组件,常用于安全和隐私敏感的应用或设备中.然而,其底层软件（即固件）也在频繁遭受着安全漏洞的影响.由于嵌入式设备底层硬件平台的复杂异构,软硬件实现差异较大,且其专用性强、源码/文档等往往不会公开,加之其运行环境受限等原因,使得一些在桌面系统上运行良好的动态测试工具很难（或根本不可能）直接适配到嵌入式设备/固件环境中.近年来,研究人员逐渐开始探索基于二进制相似度分析技术来检测嵌入式设备固件中存在的已知漏洞,并且取得了较大的进展.围绕二进制代码相似度分析面临的关键技术挑战,系统研究了现有的二进制代码相似度分析技术,对其通用流程、技术特征、评估标准进行了综合分析和比较;然后分析并总结了现有二进制代码相似度分析技术在嵌入式设备固件漏洞搜索领域的应用;最后,提出了该领域应用仍然存在的一些技术挑战及未来的一些开放性的研究方向.     

面向项目版本差异性的漏洞识别技术研究

开源代码托管平台为软件开发行业带来了活力和机遇,但存在诸多安全隐患.开源代码的不规范性、项目依赖库的复杂性、漏洞披露平台收集漏洞的被动性等问题都影响着开源项目及引入开源组件的闭源项目的 安全,大部分漏洞修复行为无法及时被察觉和识别,进而将各类项目的 安全风险直接暴露给攻击者.为了全面且及时地发现开源项目中的漏洞修复行为...     

实测西数WD6400AAKS四种固件版本

目前兼顾传输速度、寻道时间和性价比的大容量硬盘的代表作是容量为640GB的西数WD6400AAKS,尽管上市并不算久,但它前后已经有了四个固件版本,且市面皆有售,用户关注度很高。网上盛传四种版本的差异非常大,甚至个别固件版本并不是供货于零售市场,存在质量问题,因此不少用户挖空心思试图购买“优秀固件版本”的WD6400AAKS,难道真的存在“优秀固件版本”一说？笔者特意找来了四种固件版本的WD6400AAKS并逐一测试。     

基于组件合并的手写体汉字串分割

人们对孤立的手写体汉字字符的离线 识别做了大量的研究工作,而走向实用化的进展并不快.除了单字识别率不理想以外,从文本 中正确分割出单个汉字字符也是一个主要难题,因为字符的识别离不开正确分割.利用汉字的 基本结构特征,根据两个组件之间的上下、左右和包围关系,对组件进行合并形成完整的汉字 图像.对整个汉字字符串中组件的宽度和相邻组件的间距进行分析,有助于左右关系组件的合 并.实验结果表明,该方法对手写体汉字字符串具有理想的分割效果.     

HA2:层次化的物联网感知设备固件异常分析技术

物联网底层一般包含大量的感知终端,这些设备是物联网应用与服务的基础。然而,由于在计算、存储、传输带宽等资源上的限制,感知设备固件程序运行时可获得状态非常有限,一旦这些设备出现异常,相关人员往往缺乏足够的手段对其开展分析。针对这一问题,提出一种层次化的物联网感知设备固件异常分析技术（Hierarchical Anomaly Analysis,HA2）。该方法以物联网感知节点程序静态结构及动态运行轨迹特征为基础,借助一分类支持向量机和统计推断方法,可以实现区间、任务和函数三个层次的异常检测,并生成相应的异常分析报告。实验表明该方法与现有方法相比,在收集异常分析特征方面具有较小的存储及运行开销。开源代码库中的缺陷实例分析表明,与现有方法相比HA2的层次化异常分析报告可以大大缩小异常分析范围,为用户分析、修复异常提供有效帮助。     

基于组件的虚拟实验室反馈模型

提出了一种基于组件的虚拟实验室反馈模型. 该模型针对虚拟实验室中的实验设备以组件形式实现的特点, 把实验流程的拓扑结构以及实验设备的参数转换为有特定含义的字符串, 同时建立一个实验参照库, 库中预存好标准实验流程字符串, 用户实际搭建的实验流程字符串与库中的预存字符串进行模式匹配, 从而根据匹配结果给出实验指导意见. 该模型满足了学习者在虚拟实验过程对于纠错指导和效果评价的需求, 为改善学习者的使用体验提供了一种解决思路.     

基于语义冲突的硬编码后门检测方法

路由器安全问题主要聚焦于内存型漏洞的挖掘与利用，对后门的检测与发现的研究较少。硬编码后门是较常见的后门之一，设置简单方便，仅仅需要少量代码就能实现，然而却难以被发现，往往造成严重的危害和损失。硬编码后门的触发过程离不开字符串比较函数，因此硬编码后门的检测借助于字符串比较函数，主要分为静态分析方法和符号执行方法。前者自动化程度较高，但存在较高的误报率，检测效果不佳；后者准确率高，但无法自动化大规模检测固件，面临着路径爆炸甚至无法约束求解的问题。针对上述问题，在静态分析的基础上，结合污点分析的思想，提出了基于语义冲突的硬编码后门检测方法——Stect。Stect从常用的字符串比较函数出发，结合MIPS和ARM体系结构的特点，利用函数调用关系、控制流图和分支选择依赖的字符串，提取出具有相同起点和终点的路径集合，如果验证成功的路径集合中的字符串具有语义冲突，则判定路由器固件中存在硬编码后门。为了评估 Stect 对路由器硬编码后门的检测效果，对收集的1 074个设备固件进行了测试，并与其他的后门检测方法进行了对比。实验结果表明，相比现有的后门检测方法Costin和Stringer，Stect具有更好的检测效果：从数据集中成功检测出8个固件后门口令，召回率达到88.89%。     

Version control

Software evolves in small steps or versions. Often these versions are results of collaborations among different persons. At times we want to fall back to a previous version or compare different variants. Or, we need to trace changes to change requests. All these tasks relate to version control and show that tool support in this domain is indispensable, as it is with editors and compilers. The author describes available tools and shows why the CVS open source tool is so popular among practitioners.     

Blockchain-based secure firmware update for embedded devices in an Internet of Things environment

Embedded devices are going to be used extremely in Internet of Things (IoT) environments. The small and tiny IoT devices will operate and communicate each other without involvement of users, while their operations must be correct and protected against various attacks. In this paper, we focus on a secure firmware update issue, which is a fundamental security challenge for the embedded devices in an IoT environment. A new firmware update scheme that utilizes a blockchain technology is proposed to securely check a firmware version, validate the correctness of firmware, and download the latest firmware for the embedded devices. In the proposed scheme, an embedded device requests its firmware update to nodes in a blockchain network and gets a response to determine whether its firmware is up-to-date or not. If not latest, the embedded device downloads the latest firmware from a peer-to-peer firmware sharing network of the nodes. Even in the case that the version of the firmware is up-to-date, its integrity, i.e., correctness of firmware, is checked. The proposed scheme guarantees that the embedded device’s firmware is up-to-date while not tampered. Attacks targeting known vulnerabilities on firmware of embedded devices are thus mitigated.     

物联网固件安全缺陷检测研究进展

固件是物联网设备的基础使能软件,其中存在的安全缺陷是物联网设备遭受攻击的根本原因之一。由于物联网设备资源受限,难以部署完善的安全防护机制,身处不安全的网络环境中,其固件缺陷一旦被恶意利用,轻则使设备宕机,重则威胁安全攸关领域基础设施,造成巨大的生命财产损失。因此,有效的固件安全缺陷检测已然成为保障物联网设备安全的关键,也成为学术界和工业界研究的热点。面对物联网设备数量的高速增长、固件自身规模和复杂性的不断攀升、固件类型的日益多样化、固件缺陷的持续增多,现有的物联网固件安全缺陷检测研究面临挑战。本文归纳了典型物联网固件实现缺陷类型,分析了典型缺陷产生机理,从静态分析、符号执行、模糊测试、程序验证、基于机器学习的方法等角度综述了现有固件缺陷检测方法。通过对不同方法优势与不足的分析,为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导。在此基础上,本文展望了未来可以开展的研究工作。     

二进制代码相似性搜索研究进展

随着物联网和工业互联网的快速发展,网络空间安全的研究日益受到工业界和学术界的重视。由于源代码无法获取,二进制代码相似性搜索成为漏洞挖掘和恶意代码分析的关键核心技术。首先,从二进制代码相似性搜索基本概念出发,给出二进制代码相似性搜索系统框架;然后,围绕相似性技术系统介绍二进制代码语法相似性搜索、语义相似性搜索和语用相似性搜索的发展现状;其次,从二进制哈希、指令序列、图结构、基本块语义、特征学习、调试信息恢复和函数高级语义识别等角度总结比较现有解决方案;最后,展望二进制代码相似性搜索未来发展方向与前景。     

基于反汇编的智能电表软件功能检测模型

电力企业在智能电表的生产过程中发现制造商用于招标展示的样品表和竞标成功后大量投产的批量表存在显著差异。由于检测不足,许多投入实际使用的批量表出现工作状态异常、质量不合格的情况,对这些电表的维护造成了不必要的花费。针对此问题制定了一种智能电表软件功能检测方案,设计了一种嵌入式智能电表代码逆向模型。模型以分析智能电表核心程序从而获取系统运行特征为思路,以反汇编算法分析电表固件代码功能为手段,对嵌入式智能电表进行软件功能差异测试。模型包括固件代码提取、固件代码反汇编和软件功能比较三大模块,在反汇编模块中基于现有的线性扫描和递归遍历算法使用了一种改进的单步扫描算法(SDA)。实际应用时对智能电表批量产品和样品进行比较鉴别,对系统功能的差异测量效果明显;同时使用该模型在维护电力企业已使用电表时可控制拟投产电表与已使用电表功能和质量误差在±20%范围内。     

基于链码跟踪的Data Matrix二维条码快速识别

为实现工业现场中Data Matrix二维条码的快速识别,提出一种基于链码跟踪、直线段提取的条码快速识别方法。首先采用Sobel算子提取图像边缘;然后基于链码跟踪方法,跟踪图像的边缘点,记录链码;接着根据快速直线段提取方法,将直线相似度低于阈值的线段剔除,结合线形连接方法合并断裂线段,并使用长度判别剔除不可靠的线段;最后结合Data Matrix二维条码的特征,定位Data Matrix二维条码。实际测试表明,该识别方法能够快速、准确地定位二维条码区域,识别正确率可达99.39%以上,具有实时性强、可靠性好等特点,满足工业现场要求。     

嵌入式设备固件安全分析技术研究

随着嵌入式设备的种类和数量的增加,设备之间日益增长的互联互通、制造商对安全的忽视、设备固件更新不及时或难以更新等,使得嵌入式设备的安全受到了严峻的考验,越来越多的设备漏洞被披露.但由于嵌入式设备种类繁多、专用性强、源码或设计文档往往不公开、运行环境受限等诸多因素的影响,通用漏洞挖掘技术无法直接适配.近年来,国内外安全专家和学者针对嵌入式设备及其固件的安全分析和测评技术提出了很多切实可行的解决方案,但缺乏详细和全面介绍最新安全研究成果的论文,使得安全分析人员难以系统地了解嵌入式设备及其固件安全分析技术的研究进展.本文围绕着当前嵌入式设备固件面临的安全风险,分析和总结了国内外最新的研究成果,并对相关安全技术进行了综合分析和评估.首先对嵌入式设备及其固件的表现形式、分类及获取方法、面临的安全攻击层面以及自动化解析情况进行了深入研究.然后,对嵌入式设备固件安全分析技术进行了细化分析,从静态分析、符号执行、二进制漏洞关联、动态分析平台和模糊测试等五个方面进行了详细分析和横向评估.最后对未来的研究方向进行了展望.