进化内核模糊测试

最新推荐文章于 2024-05-22 20:31:34 发布
最新推荐文章于 2024-05-22 20:31:34 发布
阅读量3.6k 收藏 8
点赞数
分类专栏: Linux 二进制漏洞 文章标签: 内核 模糊测试 虚拟化 覆盖度 系统调用序列

自从 2014 年开始的高性能 tracing 和 fuzzing

  • 2014 - High Performance Fuzzing
    • 样本选择、Engine 设计、AFL-DYNINST、Windows fork()
  • 2015 - Go Speed Tracer
    • Guided Fuzzing、二进制翻译、硬件 Tracing
  • 2016 - Harnessing Intel Processor Trace for Vulnerability Discovery
    • Intel Processor Trace
    • 使用 Intel PT 用户模式模糊测试
    • 原生 Windows 程序的持久模糊测试模式
    • 开源了 Windows 上 Intel Processor Trace 的驱动 https://github.com/intelpt

介绍

  • 内核是关键攻击面
  • 现代缓解措施利用隔离和沙盒
  • 武器化的 Exploits 也包含了内核攻击
    • Pwn2own
    • 泄露的政府 warez
  • 内核的 Vulndev 仍处于初级阶段

应用程序沙盒

IE 沙盒、IE Protected 模式、Chrome 沙盒、Adobe Reader 沙盒

Windows 隔离/沙盒

驱动签名验证、Patchguard / Kernel Patch Protection、App Containers、ProcessMitigationPolicy

Evolutionary Fuzzing

  • 2006: Sidewinder – Sparks & Cunningham
  • 2007: Evolutionary Fuzzing System – Jared Demott
  • 2007: Bunny the Fuzzer – Michal Zalewski
  • 2013: American Fuzzy Lop – Michal Zalewski
  • 2014: Nightmare/BCCF – Joxean Koret
  • 2015: Honggfuzz – Robert Swiecki
  • 2015: covFuzz – Atte Kettunen
  • 2016 : Choronzon – Zisis Sialveras / Nikos Naziridis

在 Fuzzing 期间 trace 并提供反馈,Evolutionary 算法:

  • 评估当前输入样本的适应度
  • 管理可能的样本池

Evolutionary Fuzzing 的要求

  • 快速 tracing 引擎,基本块粒度的代码覆盖度
  • 快速日志,内存驻留覆盖度 map,并非每个基本块的列表
  • 快速进化算法,最小化全局 population map、最大化池多样性

AFL 提供了完整的软件包

  • 传统畸变策略的多样性
  • 通过编译时插桩检测块覆盖
  • 简化的遗传算法
    • 边覆盖被编码为元组(包括覆盖度和频率),在布隆过滤器中进行跟踪
  • 使用 portable Posix API 来进行共享内存、进程创建

其贡献:

  • 跟踪边覆盖度、全局覆盖度map、fork server(减少目标初始化)、持久化 Fuzzing、构建可在其他工作流中重用的唯一输入样本语料库

Trace Logging

  • 每个块分配一个 Unique ID
  • 每个边都是 byte map 的索引(使用 bloom filter)
  • 使用源基本块到目的基本块的ID计算哈希值
  • 每次转换的边增量 map
  • 每个 trace 很容易与整个 session 历史进行比较

WinAFL

  • Ivan Fratric - 2016
  • 内存和进程的创建都使用 Windows API
  • 代码覆盖度基于 DynamoRIO
  • 基于 module 进行过滤
  • 块和边 tracing 模式
  • 持久执行模式

WinAFL - IntelPT

  • Richard Johnson - 2016
  • 第一个硬件辅助的 Windows 指导型 Fuzzer
  • 第一个公开的用于 Windows 内核的指导型 Fuzzer

特性

  • 基于 Intel PT 的代码覆盖度引擎
  • 为解码 Intel PT trace 的在线反汇编引擎
  • 基于 module 的过滤器
  • 边跟踪模式
  • 持久执行模式
  • 内核跟踪模式

内核代码覆盖度

  • 内核代码覆盖度很难获得
  • 开源代码可以被编译器插桩
  • 二进制代码必须使用运行时插桩、静态重写或硬件引擎

已有工具与方法

源码级
  • GCC
    • gcc –coverage
    • AFL 为 .s 中间文件添加了 hook
  • Clang
    • Clang -fprofile-instr-generate -fcoverage-mapping
    • afl-clang-fast 使用编译器 pass
二进制级
  • QEMU
    • Hook Tiny Code Generator(TCG)、翻译中间语言到 Native ISA
  • BOCHS
    • Work for j00ru
  • syzygy
    • 使用 AFL 静态重写 PE32 二进制程序
    • 要求 symbols
    • 要求额外的 dev 来让 WinAFL 内核感知

Intel / AMD CPUs - Branch Trace Store

  • 每个内核线程的硬件 trace
  • 和 Last Branch Record 联合起来得到边覆盖度(edge transition)
  • 某些 Hypervisor 支持直连

image_1chpk016hjpt8265v11kceb02m.png-63.8kB

最近发布用于 Windows BTS 的开源软件 https://github.com/marcusbotacin/BranchMonitoringProject

Intel Processor Trace 在 Broadwell / Skylake 引入

image_1chpk0kl71ncr1qc6vno1p9sk9413.png-53.6kB

优势
  • 极低的性能开销(15%的 CPU perf hit 用于记录)
  • 日志直接送至物理内存,绕过 TLB 并且 eliminate 了 cache 污染
  • 最小日志格式
    • 每个条件分支 1bit
    • 间接分支只记录目的地址
  • 解码 trace 需要额外的开销,需要定制 disassebly

深入了解请看 Harnessing Intel Processor Trace for Vuln Discovery

稀疏二进制包格式(sparse binary packet format)
image_1chpk4cve4qa1i9mfk217pn116j1g.png-111.3kB

复杂格式:使用 Intel 开源的 libipt 库解码

WindowsPtDriver 用于为 Windows 提供 Intel Processor Trace 的支持
PtCov Intel Processor Trace Library 为内核态驱动交互提供用户态 API,便于将任一文件 Fuzzer 转换为覆盖度驱动的 Fuzzer

PtCov Intel Processor Trace Library
image_1chpk4rfs710br11qba16o1poi1t.png-65kB
image_1chpk4vli12e9bfg10o712gi1ahl2a.png-100.8kB
image_1chpk52ns11591bsu56hi0uv8c2n.png-48.6kB

其他方法

  • Single step / branch step (BTF)
    • 每条指令到 singlestep 都启用了 int 0x1
    • 只在分支处中断 dbgctrl msr flag
  • PMU Sampling
    • 在每个分支强制中断
    • 异步但是很慢
    • 任何架构都能运行(包括 ARM)
  • Dynamic binary translation(动态二进制翻译)
    • 尝试为驱动运行 Pin

Linux Kernel Fuzzing

  • Trinity(https://github.com/kernelslacker/trinity
    • 为 Linux 内核树构建
    • 通过 templates 实现类型感知
    • 没有覆盖度驱动
  • ”Jones has considered feedback-guided fuzzing for Trinity in the past, but found the coverage tools that were available at the time to be too slow.”

Syzkaller- 2016

  • 覆盖度驱动的系统调用 Fuzzing
    • 使用 ASAN 代码覆盖度的 GCC port 构建
    • gcc -fsanitize-coverage=trace-pc
  • 通过 /sys/kernel/debug/kcov 公开代码覆盖度
  • 模版驱动的系统调用 fuzzing
  • 严重依赖 KASAN 来捕获错误
  • image_1chpk95bdv131qhj1dgf1mqe1gcp34.png-40kB
优劣
  • 良好的工具支持
  • 监控的 WebUI
  • 良好的日志
  • Repro(重写)最小化
    image_1chpka8cn1iak1otd18161eb4srl3h.png-43.7kB

缺点是工作流复杂、配置复杂,不容易重定向

TriforceAFL - 2016

  • 基于 QEMU 做代码覆盖度跟踪的 AFL
  • 为 QEMU post-boot 添加 fork server
  • 为 API 添加序列化技术
    • 允许像 fuzzing 一个文件格式一样 fuzz API
  • 扩展了 QEMU trace 在 AFL 中的支持以用于内核
  • 为了性能考虑,在 boot 后 COW QEMU 中的 fork()
  • 使用自定义的 hypercalls 来扩展本地 ISA(aflcall)
    • Startforkserver、getwork、startwork、endwork
  • 使用系统调用 templates / shapes
  • 序列化系统调用为文件,使用 AFL 进行 fuzzing
  • 支持系统调用序列 image_1chpkd9ns7epkm6to1vulsnp3u.png-27.7kB

Windows Kernel Fuzzing

内核攻击面包括任何不可信的输入

  • 用户态:系统调用、文件解析、软件中断
  • 设备:网络、USB、Firewire

两大类:结构化的输入或者 API

系统调用

  • Ntoskrnl.sys
    • Windows 系统服务
    • 约 465 系统调用
  • Win32k.sys
    • 内核态图形显示接口支持
    • 约 1216 系统调用
  • Win32k.sys 文件解析
    • 字体:TTF、OTF、FON
    • 图片:BMP、JPEG、CUR、ANI、ICO
    • 元文件:EMF、WMF
  • 其他攻击面
    • 图形驱动、音频驱动、网络驱动、打印驱动

遗产

  • Ioctlfuzzer – Dimitry Oleksander (cr4sh)
  • Misc Syscall fuzzers
  • Misc file format fuzzers

技术

  • 随机系统调用参数或 ioctl 输入
  • Hook 与中断(ioctlfuzzer)
  • Dumb 或结构化文件 fuzzing

KernelFuzzer - 2016

Windows 系统 API Fuzzer
  • API 类型感知是有效的
  • 每个类型的生成器可以手动定义,但这太繁琐
  • Pre-generated HANDLE tables
  • 输出每个测试用例的 C 代码用于在崩溃后重现
  • 可以从 TriforceAFL 风格的 API 序列生成中受益
Windows Graphics Driver Fuzzing
  • Windows 图形层次结构
    • Gdi32.dll -> Dxgkrnl.sys -> HW driver
  • 感兴趣的 Direct3D 函数
    • D3DKMTEscape、D3DKMTRender、D3DKMTCreateAllocation、D3DKMTCreateContext
    • image_1chpkkpieotkkm65ng14f616p25b.png-20.1kB
  • 内部图形函数的入口点
    • 每个驱动程序实现专有格式的 *pData(几个头字段与命令数据)
    • 是进化型文件格式 fuzzing 的完美目标
  • 查找 D3DKMTEscape 的用法
    • image_1chpkll2n1p6bhfkj1n8qe1mna5o.png-56kB
    • image_1chpklpdk7ir5kf1kub1jur1cmb65.png-35.4kB
    • image_1chpklshpcrd4op6743pp9qm6i.png-86.5kB
  • Intel HD Graphics Driver - igdkmd64.sys
    • 7.5MB 的图形驱动
  • NVIDIA Graphics Driver – nvlddmkm.sys
    • 800 图形处理函数

结论

PolluxAvenger
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核(x86)入口代码模糊测试指南Part 1
systemino的博客
10-10 372
在本系列文章中,我们将为读者分享关于内核代码模糊测试方面的见解。 简介 对于长期关注Linux内核开发或系统调用模糊测试的读者来说,很可能早就对trinity(地址:https://lwn.net/Articles/536173/)和syzkaller(地址:https://lwn.net/Articles/677764/)并不陌生了。近年来,安全研究人员已经利用这两个工具发现了许多内核漏洞。实际上,它们的工作原理非常简单:向内核随机抛出一些系统调用,以期某些调用会导致内核崩溃,或触发内核代码中可检测的
Ben Nagy:Windows内核模糊测试入门
05-29
为了帮助那些并不想投入太多脑力的就想挖掘到缺陷错误的老实的勤奋的fuzzer们,本次议题的内容将覆盖如何最大化Fuzzing的性能并将其实施于Windows内核的缺陷错误挖掘中。
什么是模糊测试
最新发布
weixin_71807218的博客
05-22 992
模糊测试的核心思想是,根据一定的规则,自动或半自动生成的随机数据,然后将产生的数据输入到程序中,并监视程序是否有异常出现,以发现可能的程序错误,如内存泄漏、系统崩溃、未处理的异常等。当一个模糊测试生成器开始启动并运行后,它将自己寻找漏洞,并不需要人工干预,非常有助于发现传统测试方法或手动审计无法检测到的缺陷。模糊测试包括几个基本的测试步骤:确定被测系统->给定输入->生成测试用例->灌入用例进行测试->监控目标程序情况->输出崩溃日志。图一:模糊测试流程。
healer:Syzkaller启发的内核模糊
04-23
注意:Healer仍处于早期阶段,并且正在经历积极的重构。 这是治疗者的原型,请向分支查询当前进展 治愈者 Healer是受启发的内核。 作为系统调用模糊器,其基本工作流程是生成系统调用序列,执行调用,收集和分析反馈以及监视崩溃。 修复器与传统的模糊器之间的区别在于,修复器了解类型,参数的语义约束以及不同系统调用之间的关系,从而使修复器能够生成高质量的测试用例并更有效地进行模糊测试。 修复器的核心组件是: FOTS,一种面向模糊测试的界面描述语言。 核心算法,包括关系分析,调用序列生成,翻译... 执行器,支持jit执行, direct执行功能正在运行 相关工具,例如记者,翻译,执行... Fuzzer,建立在顶级核心和FOT之上。 安装 目前,愈疗者只打算模糊Linux。 因此,以下指南仅适用于linux。 安装Rust 除某些ffi库外,Healer是用纯Rust编写的。
模糊测试基础指南(上)
systemino的博客
04-30 5827
介绍
这篇博文介绍了关于模糊测试的基础知识,以及几种模糊测试工具,并由以下三个部分阐述一些最新的关于fuzzing技术的资讯。 第一部分主要介绍高级模糊测试技术。简要地讨论了使用模糊测试的情景,并进一步解释了开启模糊测试场景以及经典的模糊测试工具的架构。 第二部分主要描述模糊测试入门的过程,并介绍几种通俗易懂,易于理解和使用的模糊测试工具。虽然,通常情况下直接使用现有的fuzzer更为简便,但是...
模糊测试技术简单整理(一)
Sizaif's 小屋
04-10 8089
title: 模糊测试技术 seo_title: 模糊测试技术 author: sizaif toc: true mathjax: true tag: fuzzing 论文 sidebar: blogger toc categories: Master 论文 abbrlink: d619a3ee date: 2022-04-07 14:49:59 模糊测试技术 2022-01-09- 文章目录模糊测试技术预处理1. 插桩:2. 符号执行3. 污点分析基于AFL的模糊测试方法输入构造评估结.
模糊测试技术综述.docx
06-10
模糊测试技术综述】 模糊测试,又称为Fuzzing,是一种...综上所述,模糊测试技术在网络安全领域发挥着至关重要的作用,不断的技术创新和应用场景的拓展使得模糊测试技术持续进化,为保障系统安全提供了有力支持。
基于嵌入式Linux内核驱动下电气控制系统的研究.pdf
09-06
文中提到了几种先进的控制算法,如模糊PID神经网络算法、粒子群进化算法和自适应内环控制算法,它们用于优化电机控制,改善系统响应速度和精度。在设计算法时,需要考虑系统结构,包括DC/AC逆变器模型、内控模拟器和...
matlab解开app代码-android_external_honggfuzz:android_external_honggfuzz
05-28
与其他模糊测试相反,它会发现并报告崩溃中被劫持/忽略的信号(被模糊程序拦截并可能隐藏) 易于使用,将其提供给一个简单的语料库目录(甚至可以是空的),它将利用基于反馈的覆盖率指标来逐步扩展它 支持几种...
IOCTL Fuzzer
12-20
IOCTL Fuzzer是一款自动化windows内核驱动漏洞挖掘工具,支持32/64位,windows xp/7/2003/2008操作系统。IOCTL Fuzzer hook了NtDeviceIoControlFile函数,接管了所有通往系统内核的IOCTL请求。 IOCTL Fuzzer更新了,新版本支持GUI设置了,可以打印驱动设备及它们的信息,还集成了一个内核调试引擎,并对fuzzing做了一些改进。
kfuzz:Linux内核模糊测试工具链
05-02
kfuzz 基于docker / qemu / kvm / trinity的linux内核模糊测试工具链。 不要使用它。 它会破裂。 要求 码头工人 qemu / kvm 用法 设置debian sid docker build box zined@foo:~/src/kfuzz$ make docker #----------------------------------- #- setup docker #----------------------------------- docker build -t kernel . Sending build context to Docker daemon 79.87 kB [... blablabla ...] Successfully built 0xABADIDEA zined@foo:~/src/kfuzz$ 从当前的torv
TriforceAFL:AFLQEMU具有全系统仿真功能的模糊测试
03-11
TriforceAFL:AFLQEMU具有全系统仿真功能的模糊测试
Intel PT简介以及perf 使用 Intel pt
小立仔
02-23 1218
Intel PT简介、原理以及perf 使用 Intel pt
[Windows]内核调试环境搭建
fa1c4的blog
01-20 717
前言 为了探索windows kernel fuzz, 从去年开始先是学了windows逆向基础, 然后花了9个月从零开始大致学了一遍linux pwn的各种漏洞利用技术(windows pwn还没怎么学, 不过原理基本差不多, 需要的技术需要的时候再现学叭), 最近看了一点windows驱动开发的技术栈(虽然也没怎么看懂), 现在可以开始研究研究windows内核的漏洞利用技术了, 同样从零开始, 这篇blog简单介绍windows内核调试环境的搭建. 环境搭建 如果参考0day书中的环境搭建方法, 过程
使用LLVM进行代码覆盖率检查
tugouxp的专栏
02-15 4166
Code Coverage是软件测试领域的话题,具有大概率Code Coverage的源程序相比于小概率Code Coverage的源程序更容易在测试集的测试下发现BUG,LLVM提供了一个工具LLVM-COV,简单记录一下使用方法: step 1:安装clang 和 llvm sudo apt install clang llvm Step 2:编写测试程序: // coverage.c #include <stdio.h> #include <stdlib...
INTEL Processor Trace for vulnerability discovery
cnbird's blog
08-10 2296
https://www.google.com.hk/search?num=100&newwindow=1&safe=strict&site=&source=hp&q=intel+processor+trace+for+vulnerability+discovery&oq=intel+processor+trace+for+vulnerability+discovery&gs_l=psy-ab.3.
Processor Tracing | 处理器追踪
RToax
05-18 1601
目录 处理器跟踪 为什么这有用? 重构代码流 调试堆栈损坏 跟踪缓冲区管理 执行流重构 总结 https://software.intel.com/content/www/us/en/develop/blogs/processor-tracing.html 英特尔®处理器跟踪(英特尔®PT)是未来处理器中即将推出的一项令人兴奋的新功能,它对调试非常有帮助,因为它将通过触发和过滤功能公开准确而详细的活动跟踪,以帮助隔离重要的跟踪。我们最近发布了规范,现在提供了一个库来支持工具开发,并在本周就
IOCTL Fuzzer 使用说明
zfs2008zfs的博客
06-16 2104
IOCTL Fuzzer ver. 1.3使用说明 最近在进行驱动测试时开始接触这些工具,使用过程中有一些困惑,可惜网上这方面的资料实在有限,自己摸索了一些使用方法。
kcov-用于内核模糊测试的代码覆盖
大草的博客
12-20 2502
kcov:用于内核模糊测试的代码覆盖
模糊测试 Linux 内核
07-11
模糊测试(Fuzz Testing)是一种广泛应用于软件测试的技术,通过输入大量随机、无效或异常的数据来检测软件的漏洞和错误。对于 Linux 内核模糊测试,可以使用一些工具和方法来实现。 1. AFL(American Fuzzy Lop):AFL 是一种基于覆盖率的模糊测试工具,可以应用于 Linux 内核模糊测试。它会生成各种随机或变异的输入,并通过监测程序的覆盖率来识别可能的漏洞。 2. libFuzzer:libFuzzer 是 LLVM 编译器框架提供的一种模糊测试工具,也可以用于 Linux 内核模糊测试。它可以在目标程序中插入模糊测试引擎,并自动化生成和变异输入。 3. Syzkaller:Syzkaller 是一个专门用于 Linux 内核模糊测试工具。它可以自动生成各种系统调用序列,并通过模拟攻击者的行为来发现潜在的漏洞。 4. Crashme:Crashme 是一个简单的模糊测试工具,可以在 Linux 系统上生成各种类型的崩溃。它通过输入随机或无效数据来测试程序的稳定性和安全性。 这些工具和方法可以帮助你进行 Linux 内核模糊测试,但请注意,在进行模糊测试时,一定要谨慎操作,避免对系统产生不可预见的影响。同时,及时备份重要数据和配置文件也是很重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值