网盾网络安全培训学校,培养技术精英
全国免费咨询电话: 15527777548/18696195380

位置:首页 > 网络安全

APICraft: 为闭源的SDK库生成模糊的驱动程序

2022-06-01 13:01:27 来源:
简介APICraft: 为闭源的SDK库生成模糊的驱动程序

1 背景介绍

Fuzz 技术是当下最热门的漏洞检测与挖掘技术之一,著名的工具包括 AFL、libFuzzer、Honggfuzz 等,这些工具已经检测出了超过 16,000 个真实场景下的软件程序和软件库的漏洞。对于程序来说,Fuzzer 需要找到它输入的地方,也就是所谓的注入点;而对于软件库来说,它并不能直接输入,这时候就需要构建一个应用程序 fuzz driver(fuzzharness)来进行模糊测试。而这个程序的质量对编写人员的经验和熟练度有着极高的要求,因此如何创建高效的 fuzz driver 是一个巨大的挑战。

而当下为解决这个问题已经提出了 FUDGE、FUZZGEN 等工具,但其均是在现有的应用程序源码的基础上去构建相应的 fuzz driver,针对的更多的开源 SDK 库的安全,而如果解决闭源 SDK 库的安全问题显得更加重要。然而当下这个问题的难点在于以下两方面:

  • 从库中提取的信息十分有限
  • API函数之间的语义关心十分复杂

2 论文主要贡献

作者该篇文章主要做出了以下贡献:

  • 以闭源 SDK 的 fuzz driver 生成作为关键问题,提出了Collect-Combine 的方法。
  • 提出第一个自动化 fuzz driver 生成框架——APICraft
  • 评估了 MacOS SDK,并发现了 142 个之前未知的漏洞

3 系统架构

图3-1 APICraft 架构总览

输入:目标 SDK 库、相应的 Consumer programs

输出:fuzz driver

Collect: 对使用 SDK 的应⽤程序进⾏动态 trace ,收集GUI应⽤程序的动态行为信息,包括data dependency、control dependency等

Combine: 对收集到的 dependency 解析之后使用多目标优化的遗传算法(Multi-Objective genetic algorithm),构建 fuzz driver


3.1 工作流

图3-2 APICraft 工作流

由图可见,首先提供包括库的头文件、库的二进制文件等信息;接着经过预处理获取库的元信息、执行trace信息;随后经过 Collect 和 Combine 流程,从而生成 Fuzz Driver。


3.2 Collect

Data Dependency

图3-3 Data Dependency

Control Dependency

主要针对错误控制流信息:

  • 函数的指针式输出 -- Naive 空指针检查
  • 函数的整数型输出 -- 基于污点的分析,提取其检查条件

3.2 Combine

使用多目标基因融合算法(a multi-objective genetic algorithm),将Diversity(DIV)、Effectiveness(EFF)、Compactness(COMP)进行融合。

图3-4 APICraft的多⽬标优化遗传算法

此外通过以下方式提升其稳定性:

  • 稳定测试 -- 在3-5个不同的输入下进行烟雾测试
  • 错误控制 -- 从控制依赖产生

4 评估实验

实验从多方面进行评估,从而验证系统有效性、先进性。除此之外,通过消融实验分析整个系统组件的有效性。


4.1 fuzz driver 生成

图4-1 fuzz driver 生成

上表展示了整个 APICraft 流程的中间结果。其中 Trace Size 是所有consumer programs的大小。


4.2 与人工对比

图4-2 与人工对比

实验来看, 通过 APICraft 产生的 fuzz driver 在 fuzzing 过程中的覆盖率比 P0 顶尖安全研究员⼿写的 fuzz driver 实验效果更加卓越。


4.3 组件有效性

图4-3 组件有效性

比较 APICraft 与 NO-COMP、NO-DIV、NOEFF ,可以观察到,去除任何一个组件都会导致性能下降。其随着收集的依赖数增多,下降更为明显。


4.4 真实场景产出

图4-4 真实场景效果

可以看到 APIcraft 在真实场景下的效果仍然较好。


5 总结与展望

尽管 APICraft 取得了不错的成绩,但是还面临以下局限性。

  • fuzz driver 质量取决于 trace 的质量
  • 缺失的依赖可能造成假阳性和假阴性
  • 无法查出并发错误和逻辑错误
  • 只支持 C 或 C-style 的SDK API