自动挖漏技术获得突破
发布时间:
2017-12-27
来源:
众所周知,漏洞挖掘是信息安全工作里的一个重要组成部分。组成网络世界里的各种软件硬件都有或多或少、不为人知的漏洞,引得黑白帽子们孜孜不倦地去发现。找到漏洞后,黑的一方用来攻击作恶,白的一方忙于修复提醒。
从开始渗透测试网站到发现漏洞,然后提交给厂商,整个过程会耗费白帽子们大量的时间精力,甚至不得不连续几个日夜守在电脑面前反复测试。尤其是针对Windows系统的漏洞挖掘,由于微软没有提供源码,人工挖掘需要逆向分析,再加上微软的代码很庞大,人工挖掘可谓极其费时费力。
自动挖漏技术登上国际舞台
如何能将挖掘系统漏洞的效率大大提高?在8月16日——18日召开的USENIX Security会议上,360冰刃实验室介绍了《Digtool:A Virtualization-Based Framework for Detecting Kernel Vulnerabilities》的议题,分享了四种类型的Windows漏洞自动挖掘技术。
首先来看一下这个会议的含金量。USENIX Security是信息安全领域“四大”顶级学术会议(此外还包括S&P,CCS,NDSS)之一,始于上世纪90年代初;同时,USENIX Security 被中国计算机学会(CCF)归为“网络与信息安全”A类会议(共分为ABC三类,A类最佳);被清华大学列为计算机科学与技术系的重要国际学术会议A类会议。
截至2016年,大陆地区仅数篇被录用,均为包含科研机构的联合研究成果,但尚未有中国安全公司的独立研究成果被发表。今年USENIX Security共收到投稿522篇,最终收录85篇,录用比例不足16.3%。冰刃实验室的投稿被成功收录,使得360成为了独立研究并以第一作者身份发表研究成果的首家中国公司。
硬件虚拟化技术快挖Windows漏洞
据360冰刃实验室掌门人潘剑锋介绍,Digtool是360冰刃实验室自主开发的一款Windows漏洞自动化挖掘系统,主要利用“基于硬件的路径探测方法和基于硬件虚拟化的错误检测机制”进行检测,捕获程序执行过程中触发的漏洞。“Digtool自动化挖掘系统成果显著,具有学术和工业双重价值。”
在采访中,记者提出去年美国国防高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA)的“网络挑战赛”(Cyber Grand Challenge)上,比赛团队用开发的智能机器人软件自动搜寻、识别和修补任何程序中的漏洞,没有人为干预。这是否意味着人工智能挖漏将来会成为主流,逐渐替代人工分析?
对此潘剑锋认为,人工智能应用到挖漏洞上还只能做一些初步的分析工作,关键的部分还是需要工具和人工分析,优秀的工具则可以大大减少人工分析的工作量。
潘剑锋表示,Digtool是第一款利用硬件虚拟化技术的实用化自动漏洞挖掘系统;也是一款“黑盒”漏洞挖掘系统,不需要基于源码即可完成漏洞挖掘;更吸引人的一点是,Digtool可以实现自动化、批量化工作。以往的人工挖掘耗时耗力,安全研究员需要一行一行分析代码,Digtool系统大大提高了漏洞挖掘的自动化程度,改变了漏洞挖掘的运作模式,同时也提高了速度和精准度,能够在第一现场发现漏洞。甚至可能只需要跑一局游戏的时间,十几个漏洞就挖到了。
据介绍,Digtool的工作流程就像挖沙淘金一样:首先,Digtool可以记录内存访问日志,这就实现了第一步挖沙的过程;进而,Digtool的分析模块会进行分析,一旦符合主要的六种漏洞行为特征规则,便实现了一次“淘金”,也就意味着找到一个漏洞。利用Digtool,冰刃实验室在短期的初步功能验证实验中就已经挖掘到20个微软内核漏洞,以及41个来自杀毒厂商的驱动漏洞。
潘剑锋表示, Digtool系统的虚拟化挖掘框架是最具技术含量的部分,相当于整个系统的基石。其虚拟机监控器原理类似于当前主流的云服务基础虚拟化框架(如XEN/Hyper-v等),但并不依赖它们,而是一个新的虚拟化基础框架,含金量极高。此外,Digtool系统路径规划部分也在业界已有工具的基础上做了大量优化,效率大为提升。
在最近的Blackhat演讲中,Google project zero的成员j00ru就引用了冰刃实验室Digtool自动化挖掘Windows 内核信息泄漏漏洞的方法。《Windows Internals》的作者之一Alex Ionescu也称赞这是一个“很棒的项目”。冰刃实验室与j00ru用了不同的技巧都挖掘到了大量的windows 内核信息泄露漏洞,但冰刃实验室的Digtool速度更快,对于系统的性能损失更小,同时检测漏洞种类也更全面。
可以看出,Digtool的出现让Windows内核漏洞挖掘有了质的飞跃。漏洞挖掘未来必定趋向越来越智能化,我们期待漏洞挖掘技术有着更多、更新的突破。
|
相关资讯
