自動挖漏技術獲得突破
發布時間:
2017-12-27
來源:
眾所周知,漏洞挖掘是信息安全工作里的一個重要組成部分。組成網絡世界里的各種軟件硬件都有或多或少、不為人知的漏洞,引得黑白帽子們孜孜不倦地去發現。找到漏洞后,黑的一方用來攻擊作惡,白的一方忙于修復提醒。
從開始滲透測試網站到發現漏洞,然后提交給廠商,整個過程會耗費白帽子們大量的時間精力,甚至不得不連續幾個日夜守在電腦面前反復測試。尤其是針對Windows系統的漏洞挖掘,由于微軟沒有提供源碼,人工挖掘需要逆向分析,再加上微軟的代碼很龐大,人工挖掘可謂極其費時費力。
自動挖漏技術登上國際舞臺
如何能將挖掘系統漏洞的效率大大提高?在8月16日——18日召開的USENIX Security會議上,360冰刃實驗室介紹了《Digtool:A Virtualization-Based Framework for Detecting Kernel Vulnerabilities》的議題,分享了四種類型的Windows漏洞自動挖掘技術。
首先來看一下這個會議的含金量。USENIX Security是信息安全領域“四大”頂級學術會議(此外還包括S&P,CCS,NDSS)之一,始于上世紀90年代初;同時,USENIX Security 被中國計算機學會(CCF)歸為“網絡與信息安全”A類會議(共分為ABC三類,A類最佳);被清華大學列為計算機科學與技術系的重要國際學術會議A類會議。
截至2016年,大陸地區僅數篇被錄用,均為包含科研機構的聯合研究成果,但尚未有中國安全公司的獨立研究成果被發表。今年USENIX Security共收到投稿522篇,最終收錄85篇,錄用比例不足16.3%。冰刃實驗室的投稿被成功收錄,使得360成為了獨立研究并以第一作者身份發表研究成果的首家中國公司。
硬件虛擬化技術快挖Windows漏洞
據360冰刃實驗室掌門人潘劍鋒介紹,Digtool是360冰刃實驗室自主開發的一款Windows漏洞自動化挖掘系統,主要利用“基于硬件的路徑探測方法和基于硬件虛擬化的錯誤檢測機制”進行檢測,捕獲程序執行過程中觸發的漏洞。“Digtool自動化挖掘系統成果顯著,具有學術和工業雙重價值。”
在采訪中,記者提出去年美國國防高級研究計劃局(Defense Advanced Research Projects Agency,簡稱DARPA)的“網絡挑戰賽”(Cyber Grand Challenge)上,比賽團隊用開發的智能機器人軟件自動搜尋、識別和修補任何程序中的漏洞,沒有人為干預。這是否意味著人工智能挖漏將來會成為主流,逐漸替代人工分析?
對此潘劍鋒認為,人工智能應用到挖漏洞上還只能做一些初步的分析工作,關鍵的部分還是需要工具和人工分析,優秀的工具則可以大大減少人工分析的工作量。
潘劍鋒表示,Digtool是第一款利用硬件虛擬化技術的實用化自動漏洞挖掘系統;也是一款“黑盒”漏洞挖掘系統,不需要基于源碼即可完成漏洞挖掘;更吸引人的一點是,Digtool可以實現自動化、批量化工作。以往的人工挖掘耗時耗力,安全研究員需要一行一行分析代碼,Digtool系統大大提高了漏洞挖掘的自動化程度,改變了漏洞挖掘的運作模式,同時也提高了速度和精準度,能夠在第一現場發現漏洞。甚至可能只需要跑一局游戲的時間,十幾個漏洞就挖到了。
據介紹,Digtool的工作流程就像挖沙淘金一樣:首先,Digtool可以記錄內存訪問日志,這就實現了第一步挖沙的過程;進而,Digtool的分析模塊會進行分析,一旦符合主要的六種漏洞行為特征規則,便實現了一次“淘金”,也就意味著找到一個漏洞。利用Digtool,冰刃實驗室在短期的初步功能驗證實驗中就已經挖掘到20個微軟內核漏洞,以及41個來自殺毒廠商的驅動漏洞。
潘劍鋒表示, Digtool系統的虛擬化挖掘框架是最具技術含量的部分,相當于整個系統的基石。其虛擬機監控器原理類似于當前主流的云服務基礎虛擬化框架(如XEN/Hyper-v等),但并不依賴它們,而是一個新的虛擬化基礎框架,含金量極高。此外,Digtool系統路徑規劃部分也在業界已有工具的基礎上做了大量優化,效率大為提升。
在最近的Blackhat演講中,Google project zero的成員j00ru就引用了冰刃實驗室Digtool自動化挖掘Windows 內核信息泄漏漏洞的方法。《Windows Internals》的作者之一Alex Ionescu也稱贊這是一個“很棒的項目”。冰刃實驗室與j00ru用了不同的技巧都挖掘到了大量的windows 內核信息泄露漏洞,但冰刃實驗室的Digtool速度更快,對于系統的性能損失更小,同時檢測漏洞種類也更全面。
可以看出,Digtool的出現讓Windows內核漏洞挖掘有了質的飛躍。漏洞挖掘未來必定趨向越來越智能化,我們期待漏洞挖掘技術有著更多、更新的突破。
|
相關資訊
