面向C++商业软件二进制代码中的类信息恢复技术

采用C++编写的软件一直是二进制逆向分析中的高难度挑战,二进制代码中不再保留C++中的类及其继承信息,尤其是正式发布的软件缺省开启编译优化,导致残留的信息也被大幅削减,使得商业软件(Commercial-Off-The-Shelf,COTS)的C++二进制逆向分析尤其困难。当前已有的研究工作一是没有充分考虑编译优化,导致编译优化后类及其继承关系的识别率很低,难以识别虚继承等复杂的类间关系;二是识别算法执行效率低,无法满足大型软件的逆向分析。本文围绕编译优化下的C++二进制代码中类及其继承关系的识别技术开展研究,在三个方面做出了改进。第一,利用过程间静态污点分析从C++二进制文件中提取对象的内存布局,有效抵抗编译优化的影响(构造函数内联);第二,引入了四种启发式方法,可从编译优化后的C++二进制文件中恢复丢失的信息;第三,研发了一种自适应CFG(控制流图)生成算法,在极小损失的情况下大幅度提高分析的效率。在此基础上实现了一个原型系统RECLASSIFY,它可以从C++二进制代码中有效识别多态类和类继承关系(包括虚继承)。实验表明,在MSVCABI和ItaniumABI下,RECLASSIFY均能在较短时间内从优化后二进制文件中识别出大多数多态类、恢复类关系。在由15个真实软件中的C++二进制文件组成的数据集中(O2编译优化),RECLASSIFY在MSVC ABI下恢复多态类的平均召回率为84.36%,而之前最先进的解决方案OOAnalyzer恢复多态类的平均召回率仅为33.76%。除此之外,与OOAnalyzer相比,RECLASSIFY的分析效率提高了三个数量级。

前言

网络空间安全的核心是攻防能力的较量,在道高一尺魔高一丈的斗争中,只有掌握了各类高超的攻击技术,才能在防御中立于不败之地。本期专题旨在总结网络攻防领域主要分支的技术发展,介绍几个代表性方向的最新研究成果,帮助读者把握攻防技术前沿,为更好地实施网络防御提供指引。

一个面向Android的隐私泄露检测系统

针对Android软件中存在的用户隐私信息泄露问题,基于动态污点跟踪技术实现TaintChaser自动化检测系统。该系统能对软件中存在的用户隐私信息泄露行为进行细粒度的跟踪,实现对手机软件规模化自动化的检测与分析。利用该系统对28 369个Android程序进行检测,结果表明,有24.69%的程序可能存在泄露用户隐私信息的行为。

基于模式生成的浏览器模糊测试技术

模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验结果表明:针对5款浏览器的1 089个已知漏洞触发样本,平均仅用时11.168s即可完成1 089个不同模糊测试器的自动构建,远低于人为编写的时间消耗;随机选取其中10个模糊测试器分别对IE 10、IE 11、Firefox 54.0的全补丁版本进行测试,共产生57个不同的崩溃样本,发现1个高危未知漏洞,证明该方法具有较好的未知漏洞发现能力.

系统安全中的科学问题

系统安全面临的问题人们常用'道高一尺,魔高一丈'来形容信息安全对抗。虽然各国政府及社会对信息安全投入越来越大,网络安全监测、防护系统可谓'重峦叠嶂',但各类网络入侵、病毒危害事件仍有增无减。以计算机病毒为例,从最早的自我复制型蠕虫,到僵尸工具,到网站挂马,再到震惊全球的跨互联网及工业控制系统的病毒,检测防护体系基本是'事后诸葛亮'。系统安全服务及科研工作者常有'按下葫芦起了瓢'、疲于奔命之感。

可编程模糊测试技术

模糊测试是一种有效的漏洞挖掘技术.为了改善模糊测试因盲目变异而导致的效率低下的问题,需要围绕输入特征、变异策略、种子样本筛选、异常样本发现与分析等方面不断定制模糊测试器,从而花费了大量的定制成本.针对通用型模糊测试器(即支持多类输入格式及目标软件的模糊测试器)的低成本定制和高可扩展性需求,提出了一种可编程模糊测试框架,基于该框架,漏洞挖掘人员仅需编写模糊测试制导程序即可完成定制化模糊测试,在不降低模糊测试效果的基础上,可大幅提高模糊测试器开发效率.该框架包含一组涉及变异、监控、反馈等环节的模糊测试原语,作为制导程序的基本语句;还包含一套编程规范(FDS)及FDS解析器,支持制导程序的编写、解析和模糊测试器的生成.基于实现的可编程模糊测试框架原型Puzzer,在26个模糊测试原语的支持下,漏洞挖掘人员平均编写54行代码即可实现当前主流的5款万级代码模糊测试器的核心功能,并可覆盖总计87.8%的基本操作.基于Puzzer实现的AFL等价模糊测试器,仅用51行代码即可达到与AFL相当的模糊测试效果,具有良好的有效性.

Explore-Exploit:一种模拟真实网络渗透场景的安全竞赛

安全竞赛对网络安全领域人才的培养和选拔至关重要,然而在有限资源条件下如何设计与实现真实度高的竞赛场景是经典难题。本研究围绕着解决该难题的3个关键挑战展开。本研究首先将现实世界中的网络渗透场景建模为多步骤、多跳板、多漏洞组合渗透过程;然后应用攻击图技术对复杂网络信息系统中脆弱点及其关联关系的描述能力进行设计;最后借助于网络靶场平台的大规模复杂异构网络快速复现能力进行实现。本研究以内网攻防渗透赛的形式展开实验,取名为Explore-Exploit,实验中最长的渗透路径包含4个跳板机,组合利用了3个漏洞和1个服务,达到了预期的演训效果。相比现有竞赛场景,Explore-Exploit包含更丰富的场景元素,比如网络拓扑探测、内网横向移动、数据资产发现等,对真实网络渗透场景的还原度更高。

基于攻击指示器的木马检测系统研究与实现

随着网络技术的迅速发展,网络已悄无声息地融入了人们的日常生活。人们在享受网络所带来的便利的同时,也不能忽视随之而来的网络安全问题。木马是一种危害极大的恶意程序,如何有效地防范木马,保护信息安全,逐渐成为了国内外研究者关注的焦点之一。基于攻击指示器的木马检测系统,从文件、进程、注册表、服务和网络这五个方面对单个终端设备进行扫描检测,能够检测到运行状态和潜伏状态的木马,大大提升了木马的检出率,在实际使用中取得了较好的效果。

基于频繁子树挖掘算法的网页木马检测技术

针对目前互联网安全的主要威胁之一网页木马,基于网页木马的树状链接结构特征,引入频繁子树挖掘算法,对前期积累的4万多个恶意网页木马场景进行子树模式挖掘,提取了35个网页木马场景共同子树结构特征,利用这些特征在网页木马动态分析过程中辅助检测。实验表明:在加入基于子树特征的检测方法判定的网页木马中,动态检测方法有近20%的漏报。因此,基于子树特征的检测方法有效地提高了动态检测的检测能力和效率,同时挖掘出的典型子树模式提供了网页木马分类和溯源的依据。