Buzzer:一款针对eBPF的安全检测与模糊测试工具

于 2024-09-05 16:00:00 发布
阅读量525 收藏 8
点赞数 9
分类专栏: 工具 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/141926818
版权

关于Buzzer

Buzzer是一款功能强大的模糊测试工具链,该工具基于Go语言开发,可以帮助广大研究人员简单高效地开发针对eBPF的模糊测试策略。

功能介绍

下面给出的是当前版本的Buzzer整体架构:

元素解析:

1、ControlUnit:通过命令行标志--fuzzing_strategy启动指定的FuzzingStrategy;

2、eBPFGenerationLibrary:包含生成 eBPF 程序的逻辑;

3、ExecutionUnit:FFI 层与 eBPF Syscall 交互并加载/执行 eBPF 程序;

4、FuzzingStrategy:所有策略必须实现的接口;

模糊测试策略是eBPF 程序的生成方式和错误检测方式的结合。

目前,Buzzer 有三种可能的策略:

1、PointerArithmetic:生成随机 ALU 和 JMP 操作,然后尝试对映射指针进行指针算术运算,并写入它。如果写入的值在用户空间不可见,则假设我们写入了 OOB;

2、VerifierLogParser:生成随机 ALU 操作并解析 eBPF 验证程序日志的输出。在程序运行时,寄存器的值会被存储,然后与验证程序通过日志公开的假设进行比较;

3、Playground:这里没有进行真正的模糊测试,此策略只是为了帮助试验 eBPF;

Buzzer 还具有一个集成的指标服务器,能够呈现覆盖率信息,该组件的架构如下所示:

每当ExecutorUnit验证一个程序时,都会将下列信息传递给MetricsUnit:

1、程序是否通过验证;

2、kcov 收集的任何覆盖信息(如果启用);

MetricsUnit税后便会处理这些信息,然后将 kcov 地址解析为代码位置,并在 Web 界面中显示这些信息。

工具要求

Go运行时环境

bazel

clang

工具安装

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go运行时环境。然后按照步骤安装好bazel和clang,并配置好正确的CC和CXX环境变量:

export CC=clang

export CXX=clang++

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/google/buzzer.git

然后切换到项目目录中,运行Buzzer:

cd buzzer

bazel build :buzzer

以root权限运行Buzzer:

sudo ./bazel-bin/buzzer_/buzzer

或使用CAP_BPF运行Buzzer:

sudo setcap CAP_BPF=eip bazel-bin/buzzer_/buzzer

./bazel-bin/buzzer_/buzzer

工具使用

按照syzkaller 的说明设置运行 Debian 映像的虚拟机,请确保在编译 Linux 内核时启用 BPF。

生成bullseye镜像:

./create-image.sh -d bullseye

运行syzkaller生成的虚拟机:

qemu-system-x86_64 \

        -m 20G \

        -smp 2 \

        -cpu host \

        -kernel PATH_TO_KERNEL_REPO/arch/x86/boot/bzImage \

        -append "console=ttyS0 root=/dev/sda nokaslr earlyprintk=serial net.ifnames=0" \

        -drive file=PATH_TO_DEBIAN_IMAGE/bullseye.img,format=raw \

        -net user,host=10.0.2.10,hostfwd=tcp:127.0.0.1:10022-:22,hostfwd=tcp:0.0.0.0:8080-:8080 \

        -net nic,model=e1000 \

        -enable-kvm \

        -nographic \

        -pidfile vm.pid \

        2>&1 | tee vm.log

将vmlinux镜像传输到VM中:

scp -i PATH_TO_DEBIAN_IMAGE/bullseye.id_rsa -P 10022 PATH_TO_KERNEL_REPO/vmlinux root@localhost:~/

传输到您想要覆盖的源文件:

mkdir /root/sourceFiles

然后将您想要 fuzzer 可视化覆盖信息的任何源文件(例如验证器源代码)传输到该目录中,在运行:

scp -i PATH_TO_DEBIAN_IMAGE/bullseye.id_rsa -P 10022 PATH_TO_KERNEL_REPO/kernel/bpf/verifier.c  root@localhost:~/sourceFiles

运行Buzzer并访问指标服务器:

scp -i PATH_TO_DEBIAN_IMAGE/bullseye.id_rsa -P 10022 PATH_TO_BUZZER  root@localhost:~/

./buzzer

此时如果你在主机上访问 localhost:8080,你应该能够看到指标服务器:

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Buzzer:【GitHub传送门

参考资料

The Go Programming Language

https://bazel.build/

Clang C Language Family Frontend for LLVM

bpf: Fix incorrect verifier pruning due to missing register precision taints - kernel/git/torvalds/linux.git - Linux kernel source tree

Linux Kernel: Vulnerability in the eBPF verifier register limit tracking · Advisory · google/security-research · GitHub

FreeBuf-
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
新型PyPI攻击技术可能导致超2.2万软件包被劫持
09-05 1113
PyPI 软件包的攻击面正在不断扩大。尽管在此进行了主动干预,但用户仍应始终保持警觉,并采取必要的预防措施来保护自己和 PyPI 社区免受这种劫持技术的侵害。
博客
Monocle:一款基于LLM的二进制文件自然语言搜索工具
09-04 830
Monocle是一款基于LLM的二进制文件自然语言搜索工具,该工具由LLM驱动,用于对已编译的目标二进制文件执行自然语言搜索,并查找加密代码、密码字符串和安全缺陷漏等。
博客
尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本
09-04 589
近日,Zyxel 发布安全更新,以解决影响其多款商用路由器的关键漏洞,该漏洞可能允许未经认证的攻击者执行操作系统命令注入。
博客
MAT:一款针对MSSQL服务器的安全检测与审计工具
09-03 1186
MAT是一款针对MSSQL服务器的安全检测与审计工具,该工具使用C#开发,可以帮助广大研究人员快速识别和发现MSSQL 服务器中的安全问题,并实现安全检测与审计目的。
博客
因与媒体共享勒索事件实情,美国一研究人员被政府起诉
09-03 254
今年7月,哥伦布市曾遭到 Rhysida 勒索软件组织的攻击,导致公共机构的电子邮件和其他资源的系统中断。
博客
Wx64ST:一款轻松可修改的C语言Shellcode模板
09-02 1513
windows_x64_shellcode_template简称为Wx64ST,它是一款功能强大的Shellcode模板,该模板基于C语言编写,其简单、可扩展和易于修改等特性可以帮助广大安全研究人员轻松开发适用于Windows x64的Shellcode。
博客
GitHub项目评论被用来传播Lumma Stealer恶意软件
09-02 335
它能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。
博客
LavaDome:一款基于ShadowDOM的DOM树安全隔离与封装工具
08-30 984
LavaDome是一款针对HTML代码安全和Web安全的强大工具,该工具基于ShadowDOM实现其功能,可以帮助广大研究人员实现安全的DOM节点/树隔离和封装。
博客
攻击者冒充VPN提供商对员工发起攻击,超130家公司已“中招”
08-30 851
威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中,这可能是作为社会工程攻击中的一种策略。
博客
如何使用WebSafeCompiler进行网站优化和知识产权保护
08-29 1278
它可以通过减小网站文件大小或提供持久的逆向工程保护来增强您的 Web 资源安全,确保您的代码可立即安全地部署。
博客
绿盟科技2024半年报:营收8亿,亏损2.55亿
08-29 1283
网络安全上市企业的情况一定程度上代表了整个行业的发展态势。8月底,网络安全厂商陆续发布了2024年半年报,FreeBuf将对行业头部厂商的半年报进行简要分析,仅供业内人士参考。
博客
如何使用poutine检测代码库构建管道中的安全缺陷
08-28 1304
当获得具有读取级别访问权限的访问令牌时,poutine可以分析组织的所有存储库,以快速了解组织软件供应链的安全状况。poutine是一款功能强大的缺陷检测工具,该工具基于Go语言开发,可以帮助广大研究人员快速扫描和检测代码存储库构建管道中的错误配置和安全漏洞。
博客
identYwaf:一款基于盲推理识别技术的WAF检测工具
08-27 1295
identYwaf所实现的盲推理通过检查一组预定义的测试性(非破坏性)Payload触发的响应来完成,这些响应仅用于触发中间的 Web 保护系统。
博客
记一次对某佛教系统的漏洞挖掘
08-27 785
简单记录一次漏洞挖掘,一个系统居然爆了这么多类型的洞,于是想记录哈。(比较基础,我是菜狗,大佬轻喷)。
博客
如何使用Kdrill检测Windows内核中潜在的rootkit
08-26 1168
Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:1、已加载模块列表2、内存代码中的驱动程序3、内核对象和内部 ntoskrnl 列表的回调4、即插即用树和过滤器5、内核类型回调6、FltMgr 回调7、KTimers DPC 函数8、IRP 驱动程序表9、驱动程序使用回调签名全局变量10、NDIS 筛选器和回调NDIS filters and callbacks11、NetIO/FwpkCLNT 过滤调度。
博客
审计发现 FBI 的数据存储管理存在重大漏洞
08-26 382
据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在“重大漏洞”。此外,FBI表示正在安装一种保护性“笼子”,用作文件的存储点,这些文件将被视频监控全方位覆盖。OIG 希望 FBI 在 90 天内落实相应的整改。FBI 存储设施中使用的保护性铁笼。FBI 设施中暴露的存储设备托盘。
博客
SecretPixel:一款整合了多种技术的高级图像隐写工具
08-23 1187
1、高级加密:SecretPixel 使用 AES-256 加密数据,并使用 RSA 公钥加密技术进一步加密会话密钥。这种双层加密确保只有相应 RSA 私钥的持有者才能解密隐藏信息,从而提供高水平的安全性;2、压缩:加密前,使用 zlib 压缩数据以减小其大小。这不仅使流程更加高效,还有助于最大限度地减少可能被隐写分析工具检测到的模式;3、种子 LSB 隐写术:该工具采用种子随机数生成器来确定用于嵌入数据的像素位置。这种方法将隐藏位分散到整个图像中,使其更能抵抗 zsteg 等隐写分析工具的检测;
博客
官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本
08-23 603
近日,GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server(GHES)当前所有支持版本的关键漏洞(CVE-2024-6800),该漏洞可能允许攻击者获得对该实例内容的无限制访问。目前,漏洞已经解决,强烈建议管理员尽快更新,以确保系统安全。
博客
Dumpy:一款针对LSASS数据的动态内存取证工具
08-22 1091
为了在不调用 lsass 上的 OpenProcess 的情况下获得有效的进程句柄,系统中的所有进程句柄都使用 NtQuerySystemInformation、NtDuplicateObject、NtQueryObject 和 QueryFullProcessImageNameW 进行分析。它将执行转储 lsass 的主要逻辑。如果您想要为 x86 系统编译该工具,请修改文件 .cargo\config 中的选项“target”的值(例如:target =“i686-pc-windows-msvc”)。
博客
单个像素的威胁:微小的变化如何欺骗深度学习系统
08-22 1391
深度学习是人工智能的一个子集,涉及训练神经网络来识别数据中的模式。这些神经网络会模仿人类大脑的结构和功能,使它们能够从大量数据中学习,并做出预测或决策。例如,深度学习模型可以识别图像中的物体,理解口语(自然语言处理/ NLP),甚至可以从医学图像中诊断疾病。单像素攻击通过改变输入图像的单个像素来攻击深度学习模型,导致模型对图像进行错误分类。这种攻击使用差分进化算法来识别要修改的最优像素。该方法在不知道模型内部参数的情况下仍然有效。单像素攻击在许多领域都会带来严重风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值