Try   HackMD

Firmware Fuzzing: The State of the Art

Abstract

  • 目標:統整IoT韌體模糊測試的方法,分析這些工作,總結現有的缺點。
  • 方法:設計幾個研究問題,提取出關鍵字,用這些關鍵字搜尋文獻。
  • 結果:fuzzing分為基於現實世界的和模擬的,基於模擬的fuzzing是未來的主流;現有的模糊測試針對的漏洞是內存損壞漏洞;韌體的fuzzing比一般的軟體困難很多。
  • 結論:透過分析不同方法的優缺點,為模糊測試技術提供指南和意見。

Introduction

  • 測試IoT設備的方式很多,如靜態分析、符號執行、模糊測試、機器學習的檢測等,模糊測試是研究最多的方法之一。
  • Fuzzing生成測試的方式有兩類:generation-based methods and mutation-based methods。
  • generation-based透過對輸入格式、環境、協議建模,生成滿足規範的測試。
    • Peach, Sulley, MoWF
  • mutation-based透過改變現有的有效測試來生成新的測試。
    • AFL, Honggfuzz, BuzzFuzz

Research Method

Research Questions

  1. 韌體fuzzing執行環境為何?
  2. 韌體fuzzing檢測到的主要漏洞有哪些?
  3. 韌體fuzzing和一般fuzzing有什麼差異?

Study Selectoin

  • 蒐集IEEE、ACM、SpringerLink(科學界的學術資源平台)和Google Scholar中,和"firmware fuzzing", "IoT security", "firmware simulation"有關的論文。
    • 經過過濾,蒐集了37篇,選擇了其中12篇和模糊測試有關的來分析問題。

Result

Simulation-based fuzzing is the mainstream in the future

  • 因為韌體的架構多樣性和各種外部設備,早期的韌體模糊測試都是在真實設備上進行。
    • RPFuzzer(路由器)
    • IOTFuzzer(IoT通信)
    • FreeRTOS(嵌入式設備)
  • 真實設備成本高,覆蓋率低,重心轉為模擬上。
    • QEMU
    • Avatar(外設用真實設備)
    • SURROGATES(Avatar改良)
    • Avatar2(Avatar改良)
    • FIRMADYNE(完整系統模擬)
    • FIRM-AFL(FIRMADYNE改良)
    • FirmAE(FIRMADYNE改良)
    • Laelaps(concolic外部設備輸入)
    • P2IM(外部設備建模)
    • DICE(外部設備建模)
    • HALucinator(外部設備抽象)

Memory corruption vulnerabilities are the primary detection targets

  • 基於真實設備上的模糊測試,得到的資訊是有限的,無法確切判斷漏洞的類型。
    • RPFuzzer(監控CPU偵測DoS漏洞,Log分析系統崩潰、重啟和zombie process)
    • IOTFuzzer(目標就是發現IoT設備的內存損壞漏洞)
  • 模擬可以得到執行時的更多資訊。
    • Avatar、SURROGATES、Avatar2是框架,沒有漏洞檢測的功能。
    • FIRMADYNE、FirmAE有自動動態分析,包含訊息洩漏、緩衝溢出、命令注入等。
    • FIRM-AFL、HALucinator、P2IM、DICE使用AFL作為模糊器,檢測內存損壞漏洞。
    • Laelaps使用PANDA插件檢測內存損壞漏洞。
  • 現階段重點大多放在模擬上面,因此模糊測試不專注於發現漏洞,而是使用代碼覆蓋率來表示外部設備輸入生成的能力。

Firmware fuzzing faces more difficulties than general software fuzzing

  • 基於真實設備的Fuzzing,不像一般的軟體,可能難以得到Binary檔案。
  • 基於模擬設備的Fuzzing,無法達到一般軟體模糊測試的速度。
    • FIRM-AFL就是想改善性能,結合了全系統模擬和用戶模式模擬,但還是很慢。
  • 韌體的Binary比一般軟體更複雜,因為需要考慮和底層的互動。
    • 這也導致在靜態分析、符號執行等技術上的挑戰。如符號執行需要適應特定的指令集和架構。
  • 韌體的輸入更複雜。
    • 外部設備的輸入可能是麥克風、鏡頭、重力感測器等,以圖像、聲音為基礎轉換為數值輸入。
      • 可能需要特定編碼解碼。
    • 也可能是無線、藍芽等通訊輸入。
      • 需要了解通訊方面的協議並改成Packet的結構。
    • 更重要的輸入是中斷,這需要確定輸入時間、輸入值和環境。
      • Laelaps、P2IM、DICE都對模糊測試新增中斷的支援。

Discussion

  • 基於真實設備的fuzzing很難發現多種類的漏洞,但基於模擬的卻受限於架構的低擴展性。
  • 基於模擬的fuzzing重於解決外部設備輸入的問題,生成有效的測試輸入,而非檢測漏洞。
  • 目前基於模擬的fuzzing沒有充分利用模擬器豐富的資訊來判斷漏洞。
    • 目前只有FIRMADYNE和Laelaps有利用這些資訊來檢測漏洞。
    • 未來可以將漏洞檢測的工具以插件的方式放到模擬平台上,提供漏洞檢測的能力。
  • 許多的模糊測試生成各種外部設備的輸入其實沒有實際意義,如果針對通訊協議去建模也許更好。

Conclusion

  • 本論文目的是總結現有的IoT Fuzzing技術並進行評估。
  • 分別對基於真實設備和模擬的Fuzzing做分析。
  • 充分利用模擬器中的訊息有助於發現更多漏洞。
tags: paper
Last changed by 
Zero871015
CTI Researcher in TW :D Contact me: zero871015@gmail.com
0
1076

Read more

【LeetCode】目錄

1. Two Sum

Nov 15, 2023
【LeetCode】1846. Maximum Element After Decreasing and Rearranging

You are given an array of positive integers arr. Perform some operations (possibly none) on arr so that it satisfies these conditions:

Nov 15, 2023
【LeetCode】1759. Count Number of Homogenous Substrings

Given a string s, return the number of homogenous substrings of s. Since the answer may be too large, return it modulo 109 + 7.

Nov 9, 2023
【LeetCode】1319. Number of Operations to Make Network Connected

There are n computers numbered from 0 to n - 1 connected by ethernet cables connections forming a network where connections[i] = [ai, bi] represents a connection between computers ai and bi. Any computer can reach any other computer directly or indirectly through the network.

Nov 9, 2023
Read more from Zero871015
Published on HackMD