一種對固件樣本大規(guī)模采樣及漏洞分析方法
【專利摘要】本發(fā)明公開了一種對固件樣本大規(guī)模采樣及漏洞分析方法�,其特征在于�����,包括以下步驟:使用網(wǎng)絡(luò)爬蟲對固件進行采樣���;識別采樣的固件并對所述固件已公開的安全信息進行過濾;對所采樣的固件進行解壓�����;對解壓后的固件進行漏洞分析����。
【專利說明】
一種對固件樣本大規(guī)模采樣及漏洞分析方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種對固件樣本大規(guī)模采樣及漏洞分析方法����。
【背景技術(shù)】
[0002]嵌入式系統(tǒng)在我們的日常生活中無處不在從日常使用的手機,打印機��,路由器到復(fù)雜的航天飛機�、導(dǎo)彈系統(tǒng),都離不開嵌入式系統(tǒng)����。在一輛轎車中,就可能集合了十幾個嵌入式系統(tǒng)����。不同于計算機的是,嵌入式系統(tǒng)將微處理器嵌入到特定的控制對象中�����,以操作電子元件執(zhí)行相應(yīng)的任務(wù)���,方便人們的生活���。
[0003]所有這些系統(tǒng)上運行的特殊軟件,通常被稱為固件���。它們是用來告訴電子設(shè)備如何操作的控制程序���。
[0004]就像傳統(tǒng)的軟件,嵌入式固件通常會有很多的漏洞或者后門���,并且根據(jù)目前為止的很多研究或者公開的漏洞信息顯示����,嵌入式固件的漏洞和后門非常的普遍。
[0005]另一方面���,對固件的手動研究能夠產(chǎn)生非常精確的結(jié)果����,但是這個過程往往非常的緩慢��,并且能夠覆蓋的范圍也非常的有限����。同時由于設(shè)備廠商經(jīng)常會重用一些代碼,比如說SDK�����,如果缺乏大規(guī)模的固件分析���,很難通過一個漏洞發(fā)現(xiàn)舉一反三��,發(fā)現(xiàn)大量的相關(guān)固件的漏洞�����。
【發(fā)明內(nèi)容】
[0006]為解決現(xiàn)有技術(shù)中存在的問題���,本發(fā)明提出了一種對固件樣本大規(guī)模采樣及漏洞分析方法����。本發(fā)明的技術(shù)方案包括以下步驟:
[0007]步驟一:使用網(wǎng)絡(luò)爬蟲對固件進行采樣����;
[0008]步驟二:識別采樣的固件并對所述固件已公開的安全信息進行過濾��;
[0009]步驟三:對所采樣的固件進行解壓�����;
[0010]步驟四:對解壓后的固件進行漏洞分析�����。
[0011]進一步地�����,所述步驟一包括:初始化所述固件的URL下載界面并由所述爬蟲直接爬取下載�����;使用搜索引擎搜索所述固件關(guān)鍵字,將得到的URL傳送給所述爬蟲進行爬取下載��;人工將固件或URL提交給所述爬蟲進行爬取下載��;將下載成功的固件存儲到數(shù)據(jù)庫����。
[0012]進一步地,所述步驟二包括:對固件進行進一步分析之前對所述固件已公開的安全信息進行過濾�,總結(jié)所述固件的已公開的安全問題。
[0013]進一步地����,所述步驟三包括:使用可定制的固件解壓框架提取固件內(nèi)容。
[0014]進一步地����,所述步驟四包括,對于可解壓的固件:嘗試提取文件中包含的明碼字段����;對二進制可執(zhí)行文件進行反匯編分析;分析固件的關(guān)聯(lián)性�����。
[0015]進一步地,所述步驟四還包括��,對于不可解壓的固件:使用文件分析工具獲得固件文件的基本數(shù)據(jù)類型�����;使用字符串打印工具提取固件文件中的明碼字段��,分析是否有引導(dǎo)裝載程序以及操作系統(tǒng)內(nèi)核信息����;使用固件解壓框架尋找標(biāo)頭信息�;使用十六進制轉(zhuǎn)儲工具分析為對齊固件文件空間分段而放入的連續(xù)填充字節(jié)。
[0016]本發(fā)明的技術(shù)方案所取得的有益效果在于:對固件較廣范圍的智能化的覆蓋與分析����,實現(xiàn)了對大量固件的漏洞進行快速挖掘分析的目的。
【附圖說明】
[0017]圖1為使用本發(fā)明的對固件樣本大規(guī)模采樣及漏洞分析方法對固件進行分析的流程圖�����。
【具體實施方式】
[0018]為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點更加清楚明白��,下面結(jié)合附圖及實施例�����,對本發(fā)明進行進一步詳細(xì)說明��。應(yīng)當(dāng)理解�����,此處所描述的具體實施例僅用以解釋本發(fā)明�,并不用于限定本發(fā)明�����。
[0019]本實施方案分為兩個步驟:步驟一為利用網(wǎng)絡(luò)爬蟲技術(shù)大規(guī)模搜集嵌入式設(shè)備固件�,步驟二對所搜集的固件進行漏洞挖掘與分析。
[0020]利用網(wǎng)絡(luò)爬蟲技術(shù)大規(guī)模搜集嵌入式設(shè)備固件:
[0021]1.訪問知名的固件廠家的URL下載點�,這些專業(yè)固件廠家的URL或為文件URL,爬蟲可以直接下載���,或為目錄型的URL�����,爬蟲進行遍歷即可下載到所有的固件���。
[0022]2.利用FTP搜索引擎�����,搜索指定的關(guān)鍵字����,將搜索的結(jié)果中的URL交給爬蟲進行固件的爬取�����。
[0023]3.利用Google通用搜索��,搜索到能夠提供Firmware固件的各廠家URL�����,然后使用谷歌客戶搜索引擎(GCSE)���,對搜索到的URL進行定制化搜索�。
[0024]4.人工進行固件的收集和上傳���。
[0025]5.利用NoSQL數(shù)據(jù)庫�����,將下載成功的固件存儲到數(shù)據(jù)庫中供后續(xù)分析使用����。
[0026]對所搜集的固件進行漏洞挖掘與分析:
[0027]1.對已公開的安全信息進行過濾
[0028]為了提高漏洞挖掘效率及降低規(guī)?;詣涌蚣懿槐匾呢?fù)荷,在對固件進行進一步分析之前應(yīng)首先對已公開的安全信息進行過濾���,總結(jié)此固件已經(jīng)發(fā)現(xiàn)的安全問題���。
[0029]2.對固件解壓
[0030]使用可定制的固件解壓框架提取固件內(nèi)容。該解壓框架利用模式匹配來定位和分割文件�����。對于常見的嵌入式設(shè)備固件�����,例如基于Linux的SquashFS文件系統(tǒng),固件解壓框架內(nèi)置多種特征符可以識別�����,所以使用時可先讓固件解壓框架嘗試自動解壓文件包���。
[0031]對于無法自動解壓的固件��,可以基于以下方法分析:
[0032]I).使用文件分析工具獲得固件文件的基本數(shù)據(jù)類型�����。
[0033]2).使用字符串打印工具提取文件中所包含的明碼字段��,尋找是否有引導(dǎo)裝載程序以及操作系統(tǒng)內(nèi)核的信息�。
[0034]3).使用固件解壓框架尋找標(biāo)頭信息����,如果解壓框架識別的詳細(xì)信息和文件壓縮類型�,根據(jù)發(fā)現(xiàn)的壓縮類型解壓文件。
[0035]4).使用十六進制轉(zhuǎn)儲工具(hexdump)分析為了對齊固件文件空間分段而放入的連續(xù)填充字節(jié)�����,文件系統(tǒng)標(biāo)示有可能緊跟此后。
[0036]5).文件系統(tǒng)有可能使用非標(biāo)準(zhǔn)的特征符���,如果發(fā)現(xiàn)可疑特征符字段�,可以替換為標(biāo)準(zhǔn)特征符���,再嘗試由固件解壓框架進行識別�。
[0037]3.固件的分析
[0038]固件解壓之后的分析包括主要集中在對常見漏洞入口進行針對性的靜態(tài)分析�,包括密碼,默認(rèn)開啟的服務(wù)�����,端口����,配置文件等。
[0039]I).嘗試提取文件中包含的明碼字段�����,判斷是否存在硬編碼密碼等��。
[0040]2).對二進制可執(zhí)行文件進行反匯編分析。支持包括X86和ARM在內(nèi)的多種架構(gòu)���,可以提供反匯編指令的詳細(xì)信息�,并提供反匯編指令的語義����。
[0041]3).發(fā)掘固件的關(guān)聯(lián)性,包括分析固件作者�,庫使用,目錄結(jié)構(gòu)����,配置文件關(guān)鍵字,定制默認(rèn)密碼等�。
[0042]4).如果發(fā)現(xiàn)包含密碼哈希的文件,可考慮使用John the Ripper, Hash Suite等工具進行破解�。前者有版本支持GPU加速(支持CUDA和OpenCL)。使用暴力破解可以利用前述步驟中提取的關(guān)鍵字��,顯著加快運行效率��。在設(shè)計固件分析模塊時可考慮并行化��,分布化擴展��,以提高規(guī)模和效率�����。
[0043]以上所述實施例僅表達(dá)了本發(fā)明的實施方式��,其描述較為具體和詳細(xì)�����,但并不能因此而理解為對本發(fā)明專利的限制���。應(yīng)該指出的是��,對于本領(lǐng)域的普通技術(shù)人員來說���,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進����,這些都屬于本發(fā)明的保護范圍。因此��,本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
【主權(quán)項】
1.一種對固件樣本大規(guī)模采樣及漏洞分析方法,其特征在于�����,包括以下步驟: 步驟一:使用網(wǎng)絡(luò)爬蟲對固件進行采樣��; 步驟二:識別采樣的固件并對所述固件已公開的安全信息進行過濾�; 步驟三:對所采樣的固件進行解壓; 步驟四:對解壓后的固件進行漏洞分析�。2.如權(quán)利要求1所述的對固件樣本大規(guī)模采樣及漏洞分析方法,其特征在于���,所述步驟一包括: 初始化所述固件的URL下載界面并由所述爬蟲直接爬取下載�; 使用搜索引擎搜索所述固件關(guān)鍵字�����,將得到的URL傳送給所述爬蟲進行爬取下載����; 人工將固件或URL提交給所述爬蟲進行爬取下載; 將下載成功的固件存儲到數(shù)據(jù)庫����。3.如權(quán)利要求1所述的對固件樣本大規(guī)模采樣及漏洞分析方法,其特征在于�����,所述步驟二包括:對固件進行進一步分析之前對所述固件已公開的安全信息進行過濾����,總結(jié)所述固件的已公開的安全問題。4.如權(quán)利要求1所述的對固件樣本大規(guī)模采樣及漏洞分析方法���,其特征在于�����,所述步驟三包括:使用可定制的固件解壓框架提取固件內(nèi)容�����。5.如權(quán)利要求1所述的對固件樣本大規(guī)模采樣及漏洞分析方法���,其特征在于,所述步驟四包括����,對于可解壓的固件: 嘗試提取文件中包含的明碼字段�����; 對二進制可執(zhí)行文件進行反匯編分析�; 分析固件的關(guān)聯(lián)性��。6.如權(quán)利要求1所述的對固件樣本大規(guī)模采樣及漏洞分析方法�����,其特征在于�����,所述步驟四包括�,對于不可解壓的固件: 使用文件分析工具獲得固件文件的基本數(shù)據(jù)類型; 使用字符串打印工具提取固件文件中的明碼字段�,分析是否有引導(dǎo)裝載程序以及操作系統(tǒng)內(nèi)核信息; 使用固件解壓框架尋找標(biāo)頭信息��; 使用十六進制轉(zhuǎn)儲工具分析為對齊固件文件空間分段而放入的連續(xù)填充字節(jié)�����。7.如權(quán)利要求2所述的對固件樣本大規(guī)模采樣及漏洞分析方法,其特征在于���,所述搜索引擎可以為FTP搜索引擎或谷歌客戶搜索引擎(GCSE)���。
【文檔編號】G06F21/57GK105938532SQ201510830919
【公開日】2016年9月14日
【申請日】2015年11月25日
【發(fā)明人】孫易安
【申請人】北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司