IOTFUZZER:Discovering Memory Corruptions in IoT Through App-based Fuzzing

最新推荐文章于 2022-08-31 17:46:52 发布
最新推荐文章于 2022-08-31 17:46:52 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: 论文阅读 文章标签: 安全 物联网
原文链接:https://www.researchgate.net/publication/323248641_IoTFuzzer_Discovering_Memory_Corruptions_in_IoT_Through_App-based_Fuzzing
版权

摘要

目前针对IoT设备的安全分析工作都是基于固件来展开的,这样就需要解决如何获取固件以及如何分析固件的问题。

考虑到设备以及架构的多样性,作者借助IoT设备的移动端App设计了一个黑盒模糊测试工具来避开这类问题以分析IoT设备上的内存错误漏洞。

作者设计并实现了IOTFUZZER并测试了17个不同的IoT设备,最终发现15个内存错误漏洞,其中包括了8个未知的漏洞。

1.简介

物联网攻击的一个重要目标是设备固件中的实现缺陷(或安全漏洞)。系统地检测这些缺陷需要解决一些挑战。最主要的一个问题是固件获取的困难,因为许多供应商没有公开他们的固件映像。而且越来越多的厂商禁用调试端口,无法通过调试端口获取。

对于IoT设备来说,用户所在移动端设备上安装的操作App可以提供许多丰富的交互信息,那么可以利用它们可以发送测试数据。这样可以明显降低在分析漏洞时逆向可执行文件的困难度和工作量。 因此,作者设计一个基于移动应用程序的模糊测试框架。

作者提出了一个新型自动黑盒Fuzz测试框架——IOTFUZZER,旨在监测物联网设备中的内存损坏漏洞

工作目的

  • 仅Fuzz测试,结果用于指导后续的安全分析,找出漏洞的根源。

基于APP分析的Fuzz测试框架

  • 大多数IOT设备带有官方APP
  • APP中包含丰富的命令(种子)消息,URL和加密/解密信息
  • 轻量级,无需复杂的逆向和协议分析

主要优点

  • 无需获取IOT设备固件镜像
  • 无需逆向分析
  • 无需知道协议具体内容

2.背景

IOT通信模型

  • 手机客户端直接与IOT设备进行通信
  • 使用供应商提供网络云服务进行通信
  • 云服务器与设备之间通信
    在这里插入图片描述

(手动/自动)分析固件的障碍

  • 固件获取
  • 固件解压
  • 可执行分析

挑战

  • Mutating fields in networking messages

识别协议中的哪些数据是可以被用来修改为mutation的,通用协议较为方便,难点在于私有协议

  • Handling encrypted messages

有些协议的字段甚至全部协议本身是加密的,所以需要以相同的方式加密的包含数据(Mutated)的协议消息。

  • Monitoring crashes

还需要监控设备的状态,因为IoT设备大多没有显示器,需要使用一种不接触设备为前提的方法检测设备是否Crash。

解决方法

  • Mutating protocol fields at data sources

针对未知协议的逆向比较花费精力,所以作者选择在数据源处对协议中所使用的数据进行修改。作者使用了数据流分析,这里数据源其实就是Source

  • Reusing cryptographic functions at runtime

因为修改了Source,所以对于加密函数不需要重新实现,只要重用即可,作者使用了Xposed hook这些函数

  • Detecting liveness with heartbeat mechanism.

发送心跳包以检测状态

3.实现

在这里插入图片描述

A. UI Analysis

UI分析的目的是识别出与网络消息发送相关的事件以便于后续数据流分析和fuzz。

首先使用Androguard构建CFG,对于隐式的控制流转换(例如thread.start和thread.run的回调)使用EdgeMiner分析并添加到CFG上,以分析出那些操作会触发网络消息事件

然后使用Monkeyrunner构建出什么样的UI触发顺序可以触发相应的网络事件,例如,先点击Text框,然后输入数据点击发送Button以发送消息。

B. Data-flow Analysis

为了识别那些数据与要发送到IoT设备的消息内容(例如,字符串常量,系统API的返回值等)从选定元素中跟踪数据流以确定影响某些消息字段的内容。 然后,这些数据会被改变字段的内容以进行fuzz。使用TainDroid实现

Taint Sources:system APIs;UI Input

Taint Propagation:修改传播规则,可以保存任意数量的污点tag

Taint Sinks:networking APIs; encryption functions

启发式选择包含算术和按位运算的函数作为加密相关函数

C. Runtime Mutation

优势: 1. 协议字段可以在加密或者编码之前修改 2. 未知协议也在不逆向协议细节的情况下fuzz

使用xposed在数据流分析出sink为目标sinks的source生成处进行hook并修改其值。

Fuzzing Scheduling

并不是全部修改所有的source,因为这样更容易触发设备的异常导致粒度不够细。

Fuzzing Policy

更改字符串的长度以实现栈溢出或堆溢出和越界

修改int、double、float值以测试堆栈溢出和数组越界

修改数据类型或者未初始化的变量提供空值以测试misinterpretation或者未初始化漏洞

D. Response Monitoring

用心跳包检测设备的状态以判断是否发生了Crash

  • Expected Response:not interested
  • Unexpected Response:untreated errors
  • No Response:Dos or dead loops
  • Disconnection:Crash

4.讨论与限制

局限性

  • 测试范围

移动应用程序提供了便于设备管理的主要数据输入渠道,可以尝试使用其他数据通道(如传感器或调试端口)。

  • 连接模式

目前仅通过Wi-Fi连接的设备,日后可扩展到其他通信模式,如蓝牙,Zigbee。

  • 结果判断

IOTFUZZER无法直接生成内存损坏类型和根本原因,在黑盒测试中,最终的漏洞确认通常需要进行一些手动操作。

  • 结果的准确性

存在大量误报。

在某些情况下,内存损坏不会导致崩溃。

Chary Liu
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOTFUZZER: Discovering Memory Corruptions in IoT Through App-based Fuzzing
Goallegoal的博客
06-10 1363
IOTFUZZER: Discovering Memory Corruptions in IoT Through App-based Fuzzing 随着越来越多的物联网设备进入消费市场,迫切需要在攻击者之前检测其安全漏洞。现有的基于二进制分析的方法仅适用于固件,除了那些配备有用于从设备中提取代码的特殊工具的固件之外,这种方法很难访问。为了应对物联网安全分析中的这一挑战,本文中提出了一个新颖的自动模糊测试框架,称为IOTFUZZER,旨在发现物联网设备中的内存损坏漏洞而无需访问其固件映像。关键思想是基于以下
IOT Fuzz 两种思路
Hello World.c
05-24 2707
两种 FUZZ 框架介绍 代码和测试用例 基于BooFuzz做网络协议黑盒Fuzz BooFuzz框架 https://boofuzz.readthedocs.io/en/stable/user/quickstart.html https://github.com/jtpereyda/boofuzz Boofuzz是久经世故的Sulley Fuzz的分支和继承者。除了大量的错误修复,boofuzz的目标是可扩展性。目标是:Fuzz一切。 基于BooFuzz做Ftp服务Fuzz BooFuzz是基于状态和数据
论文Summary02——Fuzzing
q1uTruth的博客
01-11 3860
github地址:https://github.com/lannan/Westworld 背景 没考虑库文件和远程平台执行 平时的符号执行要求I/O环境和库文件,但是无法(准确)处理调用库文件或者程序在远程平台(如SmartThings)执行的情况 API闭源 & 传统的对API的处理 IoT平台下有很多用于实现自动化的IoT appapp和平台通过API进行交互(如app从平台获取测试到的温度数据、登录信息等),收集这些信息 For uninterpreted functions, class.
基于固件的漏洞挖掘方法梳理
随便记记笔记
06-07 8181
相关论文 2013 Fie on firmware: Finding vulnerabilities in embedded systems using symbolic execution, USENIX 2013 方案:Fie 技术:符号执行,静态分析,基于C源码,KLEE,基于MSP430系列微控制器 点评:对于某些固件,完整的分析是难以处理的,分析中的各种不精确来源可能会导致误报或漏报。改进符号执行技术来适应固件特定的功能。结果表明Fie可以发现许多内存错误 资源:https://www.usen
从零开始的 IoT 实践之路
一起来捉 Bug 呀~~
03-02 3160
原文: Making it Easier to Get Started With IoT 作者: Francesco Azzola 【CSDN 有奖征稿啦】技术之路,共同进步,有优质移动开发、物联网原创文章欢迎发送邮件至 mobilehub@csdn.net。 物联网IoT)一直被认为是“下一个工业革命”,从通信、娱乐、医疗到智能化生活无处不在,也许你正在思考成为一名 IoT ...
Acquisitional Rule-based Engine for Discovering IoT.pdf
09-14
本文主要探讨了物联网IoT)设备日益增长的环境所带来的管理与安全挑战。随着不同类型、供应商和产品模型的物联网设备广泛分布,如何有效地发现、监测和保护这些设备成为了一个亟待解决的技术问题。设备的自动发现...
Shellcoder’s Handbook: Discovering and exploiting Security Holes---中文CHM
02-05
第一部分 破解入门: X86上的Linux 第二部分 多种平台上的破解:Windows, Solaris, and Tru64 第三部分 漏洞发现 第四部分 高级内容 很多人问如何入门如何入门,我却不知道要问的是入什么门。很少把某些好文章耐心...
Discovering-Topic-Representative-Terms-for-Short-Text-Clustering:发现短文本聚类的主题代表词
04-18
发现短文本聚类(TRTD)的主题代表术语 方法TRTD的源代码:“” 怎么跑 python kwg_discovery_clustering.py -d dataset/Tweet_merged_50 --gamma 30 --theta 0.8 --delta 0.1 要求 Python 3.x ...
Jointly-Discovering-Visual-Objects-and-Spoken-Words:联合发现视觉对象和口语单词的论文的实现
05-14
2) In the data folder, flickr8k.pkl provides paired information. Details of how to use this pickle file can be found in main_SISA or MISA python file. 3) python main_SISA/MISA.py 实验 语音字幕检索...
A Density-Based Algorithm for Discovering Clusters
04-28
DBSCAN(Density-Based Spatial Clustering of Applications with Noise)是一种基于密度的聚类算法,由Martin Ester、Hans-Peter Kriegel、Jürg Sander和Xiaowei Xu等人于1996年提出。该算法的主要优势在于能够...
IOT[测试资源]
0x00的博客
06-06 1434
IoT Penetesting 101 && IoT security 101 Approach Methodology Network Web (Front & Backend and Web services) Mobile App(Android & iOS) Wireless Connectivity Firmware Pentesting(Ha...
高可用性虚拟专用网络
Goallegoal的博客
04-10 459
高可用性虚拟专用网络 概述 服务器的稳定性,不仅仅在于服务器本身的部署规模,从网络层面讲通信链路的可用性也是重要环节。常规的虚拟专用网络在单独的边界点处往往只有一根链路,为了防止访问总部数据库资源时发生故障、提高服务器端的稳定性,需部署冗余技术。 链路冗余 1、总部默认只有一根链路接入到互联网,有多个分支拨入总部,若总部故障,全网所有虚拟专用网络都无法通信,这便是单链路故障; 2、为了防止单链路故...
物联网设备模糊:DIANE:识别应用程序中的模糊触发器,为物联网设备生成受限制的输入
Alicheche的博客
11-10 7071
本文记录阅读DIANE论文的内容总结和一些阅读过程中不理解地方的补充,我是搬运工。
扫会
qq_41727987的博客
09-16 1262
S&P Session 9: Web NDSS Session 1A: IoT NDSS Session 3B: Authentication USENIX Session: Understanding How Humans Authenticate S&P Session 9: Web https://dblp.uni-trier.de/db/conf/sp/sp2...
Recent Fuzzing Papers
wcventure的博客
03-13 2453
Recent Papers Related To Fuzzing 原文在GitHub上更新: https://github.com/wcventure/FuzzingPaper All Papers Interesting Fuzzing DifFuzz: Differential Fuzzing for Side-Channel Analysis (ICSE 2019) REST-ler:...
嵌入式设备和固件中的自动漏洞检测(二):动态分析与符号执行技术
最新发布
qq_40229814的博客
08-31 2734
嵌入式系统和固件漏洞检测技术调研的第二部分,调研了模糊测试等动态分析技术、符号执行技术在嵌入式设备和固件的漏洞检测中的应用。
IoT 设备网络协议模糊测试工具boofuzz实战
热门推荐
个人笔记
02-16 1万+
0x10 物联网设备模糊测试 对于物联网设备,比如家用路由器模块,UPNP、HTTP server、Telnet都是用户经常接触的模块,通常也能够与外界交互,从而提供了入口。如果这些模块或者使用的协议存在漏洞,往往能够直接利用,达到远程攻击的效果。 IoT 固件分析往往涉及到二进制代码审计、静态扫描以及动态调试等,其中模糊测试作为一种重要的方法,能够给安全测试添砖加瓦。针对IoT设备的模糊测试主要...
灰盒协议fuzz——AFLNET、SPFuzzIOTHunter对比
m0_37907383的博客
12-16 3302
AFLNET、SPFuzzIOTHunter对比 这三篇论文都是针对协议的有状态fuzz工具。分别在ICST2020年、ACESS2019和Security usenix19发表。 以下是论文连接: IOTHunter AFLNET SPFUZZ 背景 背景是相似的,都是当前fuzz主要分成两类:一类是针对传统软件以AFL为代表的模糊测试全家桶,主要为变异生成的模糊测试,另一类是学术(boofuzz)或者工业(peach)流行的生成性模糊测试。这三款工具都是认为基于生成的变异对于协议对使用者来说门槛较高,
Binder fuzz安全研究
omnispace的博客
01-11 2586
扣吧力作,欢迎转载,转载请注明来自colbert337.github.io 最近扣吧忙成狗了,好久没更新博客,对不住大家了,今天趁天气暖和点,来一篇干货。 由于好久没搞Android了,写得不专业的地方,请见谅哈。 0.为什么要研究Binder fuzz 以目前最热门的指纹方案为例。 TZ:Trustzone(请自行百度) CA:Trustzone框架中的Clinet App
Java 7入门:探索核心技术与最新特性
"《 Beginning in Java 7》是一本针对Java 7初学者的教程,由Apress出版,专注于介绍Java 7的基本特性和核心概念。该书旨在为读者提供一个全面的入门路径,从基础到进阶,帮助他们快速熟悉和掌握这门广泛应用于软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值