CinfoFuzz: Fuzzing Method Based on Web Service Correlation Information of Embedded Devices

Abstract

Fuzzing 是最廣泛使用的漏洞挖掘技術
物聯網設備的安全性越來越重要，尤其是 Web 服務的漏洞很多
因為牽扯到前端與後端，現有的工具無法有效分析漏洞
現有的 Fuzzing 和模擬雖然提供後端狀態，但因為只涵蓋程序狀態的一小部分，導致誤報
- Fuzzing (IoTFuzzer, SRFuzzer)
- 模擬 (Firmadyne, Firmae, Avatar, FirmAFL)
靜態分析的方式依賴前端與後端的關鍵字，也可能包含誤報
- KARONTE
- SaTC
本文提出 Web 服務的 Fuzzing 方式－－ Wsci-ed
- 包含前後端數據流關鍵字(DFK, Data Flow Keywords)
- 關鍵字對應的後段敏感函數路徑(SFCP, Sensitive Function Call Path)
- 基於關鍵字分析與路徑生成，實現了 CinfoFuzz

前端的關鍵字在後端有兩種用途
- 參數關鍵字，如 deviceName
- API 關鍵字，如 goform/setUsbUnload
動態模擬時會將靜態的結果先根據文件做分類
- HTML
- XML
- JS
然後透過正規表達式與語法樹提取關鍵字，並過濾特定關鍵字
- 過濾特殊字元，如 "$" "@" "!" 等
- 過濾隱藏的屬性
- 過濾 tag，如 <title> <head> 等
因為可能無法明確分別關鍵字屬於參數還是 API，需要利用動態去執行
- QEMU 進行全系統模擬
- Selenium 模擬使用者與 Web 互動
- Mitmproxy 攔截訊息

經過前面的元件，得到 Wsci-ed 後，要利用這些東西去變異與反饋 Fuzzer
監控程式崩潰的部分使用敏感函數插樁法 (Sensitive Function Instrumentation Method, SFIM)
變異的部分繼承 BooFuzz 原來的變異方法
- 把封包拆成不同的部分去變異
檢測時使用 gdb + gdbserver，其中 gdb-multiarch 可支援多架構
- gdb 中的 follow-fork-mode 可以監控多 Processes
- 設定規則後，如果 gdb 發現程式執行狀態都符合就是提供訊號給 fuzzer
Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
- 在 target device 上執行 gdbserver，並將 inter-bin attach 上去
- 在 host 執行 gdb 並將插樁腳本執行，連線到 gdbserver 上面遠端測試
- 執行中的程式觸發到腳本設定的條件後，gdb 會將程式 hang 並將執行狀態回傳
- crash 時 gdbserver 會退出 attach 狀態，gdb 會將當下的狀態 dump 成文件

基於上述方法，設計了 CinfoFuzz (Correlation information Fuzz)
Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
關鍵字分析模組會將韌體解包並做靜態與動態分析
- 靜態提取 DFK，動態分類 DFK
路徑生成模組輸入 DFK，利用 Ghidra 輸出 SFCP
執行引擎模組又分為兩塊
- Test case 生成模組從前面得到關鍵字並變異
- Feedback 模組會對 SFCP 做動態檢測，發生碰撞或崩潰時回引導 Fuzzer

實驗環境
- Kali 2020.4 64-bit OS
- Intel® Core™ i59600KF CPU @ 3.70GHz
- memory size 24GB
比較對象
- Peach
  - 第一個開源的模糊測試工具
- Boofuzz
  - CinfoFuzz 繼承他的 test case 生成方式，可以比較兩者性能
資料集包含 4 家廠商的 4 種韌體
- Image Not Showing Possible Reasons
  The image file may be corrupted
  The server hosting the image is unavailable
  The image path is incorrect
  The image format is not supported
  Learn More →

Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
因為 Peach 和 Boofuzz 原本都沒辦法在嵌入式設備中執行，因此都加上了對敏感函數觸發的支援
本個程式跑兩小時
- 不包含前面分析的時間
只看敏感函數的路徑，平均而言
- 覆蓋率上，CinfoFuzz 比 Boofuzz 高 25.7%，比 Peach 高 29.6%
- 覆蓋速度(?)上，CinfoFuzz 比 Boofuzz 快 28.4%，比 Peach 快 33.7%
前面分析越久，Fuzzing 時的效率會提升越多

Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
都只有找到已知漏洞，但他數量最多
能找到較多漏洞的兩個主要原因
- DFK 可以生成更豐富的 test case
  - 例如在不插入 USB 設備時，無法交互出 deviceName 的數據，但 DFK 直接包含該字串
- SFCP 支援跨 processes 的漏洞
  - 但其實僅限同個一 process fork 出來的