物聯網設備憑據觸髮型後門的檢測方法及系統

2023-10-27 11:11:45 2

1.本發明涉及物聯網設備的安全分析技術領域，具體地，涉及一種物聯網設備憑據觸髮型後門的檢測方法及系統。


背景技術：

2.隨著物聯網的不斷發展，許多種類的物聯網設備應運而生。而部分設備製造廠商在產品發布後無意或有意地沒有去除用於測試的隱蔽通道形成遺留在產品中的後門，又或是出於產品發布後運行維護的需求為產品配置了基於私有協議的設備控制方法。安全研究人員普遍認為，這些無論出於何種目的部署的隱藏的控制方法很可能都會被攻擊者發現並加以利用，從而危害物聯網設備的安全。
3.為了隱藏後門及預設的控制通道，設計者通常會為其設置特殊的觸發方式。一類常見的觸發方式是憑據認證，即設備接受用戶輸入的口令並與預留的事先編碼的口令比較，若一致則能夠觸發後門或控制命令。現有技術已能夠對硬編碼憑據觸發的後門進行檢測，但在當前的研究中發現，一些後門會以硬編碼字符串的哈希值作為觸發的憑據，或通過設備信息與運行環境信息組合計算觸發憑據，而對於這種通過複雜編碼生成憑據所觸發的後門的檢測目前仍缺少合理的解決方案。
4.因此，市場上急需一種能夠識別複雜的非硬編碼方式植入的通過憑據觸發的後門的一種物聯網設備憑據觸髮型後門的檢測方法及系統。


技術實現要素：

5.針對現有技術中的缺陷，本發明的目的是提供一種物聯網設備憑據觸髮型後門的檢測方法及系統。
6.根據本發明提供的一種物聯網設備憑據觸髮型後門的檢測方法，包括：
7.步驟s1：對設備固件進行解壓形成二進位代碼庫；
8.步驟s2：逆向分析所述代碼庫中的可執行文件，利用字符串比較函數以及後門模型特徵定位後門驗證關鍵代碼；
9.步驟s3：從原程序中將與所述後門驗證關鍵代碼相關的代碼段剝離出來，得到完整的憑據生成過程代碼；
10.步驟s4：對每一個所述憑據生成過程代碼進行數據抽象和過程建模處理，形成對驗證憑據的形式化描述，並計算所述形式化描述中各個輸入變量的語義和不確定度；
11.步驟s5：根據所述各個輸入變量的語義和不確定度，判斷生成驗證憑據的所有輸入的不確定度是否小於其各自的最大不確定度，若是，則驗證憑據是可預測的，設備存在能夠通過可預測憑據觸發的後門；若否，則驗證憑據是不可預測的，對應的設備不存在能夠通過可預測憑據觸發的後門。
12.優選地，所述步驟s2包括：
13.步驟s2.1：對代碼庫中可執行文件進行逆向分析，檢測文件中是否存在字符串比
較函數以及對字符串比較函數的交叉引用，若是，則觸發步驟s2.2；若否，則重新觸發步驟s2對下一個代碼庫文件進行檢測；
14.步驟s2.2：查詢交叉引用字符串比較函數的地址，根據所述地址找到調用字符串比較函數的函數，生成調用函數的函數控制流程圖；
15.步驟s2.3：在所述函數控制流程圖中查詢調用字符串比較函數的基本塊，對所述基本塊的後續塊進行後門特徵掃描，判斷所述後續塊中是否存在後門特徵，若是，則將調用字符串比較函數的基本塊所包含的代碼標記為憑據驗證關鍵代碼；若否，則觸發模塊m2.2查詢下一交叉引用字符串比較函數的地址。
16.優選地，所述剝離的處理方法包括汙點分析和程序切片技術；
17.所述程序切片技術包括選取至少一個變量作為切片的源頭，然後根據程序變量和語句之間的定義以及使用關係將整個程序中所有與源變量相關的指令全部提取出來；
18.所述使用關係包括：變量初始化、變量賦值和計算。
19.優選地，所述數據抽象和過程建模處理包括：對驗證生成代碼過程中涉及的變量進行抽象，識別變量的類型與長度，同時對驗證生成代碼過程中的對變量操作的函數進行抽象，識別函數的輸入輸出參數的類型與長度；
20.所述驗證憑據的形式化描述根據生成代碼過程片段的調用流程圖以及數據流圖形成。
21.優選地，所述語義是指輸入本身所蘊含的意義，包括設備信息、配置和設備所存儲的用戶信息；
22.所述不確定度的計算公式如下式：
23.h(xk)＝-∑p
ki log p
ki i＝1,2,3,
…
,n
24.h(x)＝∑h(xk)k＝1,2,3,
…
,m
25.式中，h(x)表示驗證憑據x的不確定度，h(xk)表示驗證憑據形式化描述中單個輸入變量xk的不確定度，p
ki
表示單個輸入變量xk中某種輸入值x
ki
的對應概率，n表示單個輸入變量xk所有可能的輸入值數量，m表示驗證憑據形式化描述中單個輸入變量的數量。
26.根據本發明提供的一種物聯網設備憑據觸髮型後門的檢測系統，包括：
27.模塊m1：對設備固件進行解壓形成二進位代碼庫；
28.模塊m2：逆向分析所述代碼庫中的可執行文件，利用字符串比較函數以及後門模型特徵定位後門驗證關鍵代碼；
29.模塊m3：從原程序中將與所述後門驗證關鍵代碼相關的代碼段剝離出來，得到完整的憑據生成過程代碼；
30.模塊m4：對每一個所述憑據生成過程代碼進行數據抽象和過程建模處理，形成對驗證憑據的形式化描述，並計算所述形式化描述中各個輸入變量的語義和不確定度；
31.模塊m5：根據所述各個輸入變量的語義和不確定度，判斷生成驗證憑據的所有輸入的不確定度是否小於其各自的最大不確定度，若是，則驗證憑據是可預測的，設備存在能夠通過可預測憑據觸發的後門；若否，則驗證憑據是不可預測的，對應的設備不存在能夠通過可預測憑據觸發的後門。
32.優選地，所述模塊m2包括：
33.模塊m2.1：對代碼庫中可執行文件進行逆向分析，檢測文件中是否存在字符串比
較函數以及對字符串比較函數的交叉引用，若是，則觸發模塊m2.2；若否，則重新觸發模塊m2對下一個代碼庫文件進行檢測；
34.模塊m2.2：查詢交叉引用字符串比較函數的地址，根據所述地址找到調用字符串比較函數的函數，生成調用函數的函數控制流程圖；
35.模塊m2.3：在所述函數控制流程圖中查詢調用字符串比較函數的基本塊，對所述基本塊的後續塊進行後門特徵掃描，判斷所述後續塊中是否存在後門特徵，若是，則將調用字符串比較函數的基本塊所包含的代碼標記為憑據驗證關鍵代碼；若否，則觸發模塊m2.2查詢下一交叉引用字符串比較函數的地址。
36.優選地，所述剝離的處理方法包括汙點分析和程序切片技術；
37.所述程序切片技術包括選取至少一個變量作為切片的源頭，然後根據程序變量和語句之間的定義以及使用關係將整個程序中所有與源變量相關的指令全部提取出來；
38.所述使用關係包括：變量初始化、變量賦值和計算。
39.優選地，所述數據抽象和過程建模處理包括：對驗證生成代碼過程中涉及的變量進行抽象，識別變量的類型與長度，同時對驗證生成代碼過程中的對變量操作的函數進行抽象，識別函數的輸入輸出參數的類型與長度；
40.所述驗證憑據的形式化描述根據生成代碼過程片段的調用流程圖以及數據流圖形成。
41.優選地，所述語義是指輸入本身所蘊含的意義，包括設備信息、配置和設備所存儲的用戶信息；
42.所述不確定度的計算公式如下式：
43.h(xk)＝-∑p
ki log p
ki i＝1,2,3,
…
,n
44.h(x0＝∑h(xk) k＝1,2,3,
…
,m
45.式中，h(x)表示驗證憑據x的不確定度，h(xk)表示驗證憑據形式化描述中單個輸入變量xk的不確定度，p
ki
表示單個輸入變量xk中某種輸入值x
ki
的對應概率，n表示單個輸入變量xk所有可能的輸入值數量，m表示驗證憑據形式化描述中單個輸入變量的數量。
46.與現有技術相比，本發明具有如下的有益效果：
47.1、本發明能夠通過對物聯網固件中二進位程序的靜態分析，自動化地檢測出設備中是否存在更加複雜的非硬編碼方式植入的通過憑據觸發的後門。
48.2、本發明通過高效的靜態程序分析技術能夠快速檢測大量固件，提高檢測效率。
49.3、本發明通過上下文敏感的函數參數識別技術追蹤代碼切片中的數據，從而能夠確定代碼切片中變量的類型和長度，為計算變量不確定度提供基礎，提高漏洞檢測的準確度。
附圖說明
50.通過閱讀參照以下附圖對非限制性實施例所作的詳細描述，本發明的其它特徵、目的和優點將會變得更明顯：
51.圖1為本發明中的方法總體流程示意圖。
52.圖2為本發明中的固件解包與篩選二進位代碼庫流程示意圖。
53.圖3為本發明識別特徵代碼片段並切片的流程示意圖。
54.圖4為本發明通過對憑據生成代碼片段進行數據流圖分析的流程示意圖。
具體實施方式
55.下面結合具體實施例對本發明進行詳細說明。以下實施例將有助於本領域的技術人員進一步理解本發明，但不以任何形式限制本發明。應當指出的是，對本領域的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干變化和改進。這些都屬於本發明的保護範圍。
56.實施例一
57.根據本發明提供的一種物聯網設備憑據觸髮型後門的檢測方法，如圖1所示，包括：
58.步驟s1：對設備固件進行解壓形成二進位代碼庫。具體地，如圖2所示。
59.首先使用固件解包框架對待檢測設備固件進行解包，得到固件文件系統內容。解包的方式包括使用binwalk對待檢測設備固件進行解包。常見的物聯網設備固件一般通過壓縮算法和數據封裝格式進行壓縮打包處理，工具中內置多種特徵符對壓縮算法進行識別並嘗試自動解包固件。對於未知的數據封裝格式則通過模式匹配來定位和分割文件。
60.然後提取固件內容後對文件逐一進行可執行文件的識別，篩選出可執行的二進位文件形成二進位代碼庫。
61.步驟s2：逆向分析所述代碼庫中的可執行文件，利用字符串比較函數以及後門模型特徵定位後門驗證關鍵代碼。具體地，後門特徵包括但不限於基本塊中對特權操作相關特徵字符串的數據引用和基本塊中對特權操作相關函數的代碼引用。其中，特權操作包括但不限於執行高權限命令、控制設備或修改設備設置。所述步驟s2包括：
62.步驟s2.1：對代碼庫中可執行文件進行逆向分析，檢測文件中是否存在字符串比較函數以及對字符串比較函數的交叉引用，若是，則觸發步驟s2.2；若否，則重新觸發步驟s2對下一個代碼庫文件進行檢測。
63.步驟s2.2：查詢交叉引用字符串比較函數的地址，根據所述地址找到調用字符串比較函數的函數，生成調用函數的函數控制流程圖。
64.步驟s2.3：在所述函數控制流程圖中查詢調用字符串比較函數的基本塊，對所述基本塊的後續塊進行後門特徵掃描，判斷所述後續塊中是否存在後門特徵，若是，則將調用字符串比較函數的基本塊所包含的代碼標記為憑據驗證關鍵代碼；若否，則觸發模塊m2.2查詢下一交叉引用字符串比較函數的地址。
65.具體地，如圖3所示，首先對可執行文件進行靜態掃描，尋找字符串比較使用的一般函數，比如strcmp、strncmp、memcmp函數等。對於動態連結的可執行文件，這一步操作可以通過got全局符號表中尋找來實現；對於靜態連結的可執行文件，根據文件中每一個函數的基本塊數量、是否包含循環、是否包含內存比較指令等特徵以確認候選的字符串比較函數。隨後以這些函數的起始地址作為目標地址找到所有交叉引用的源地址，從而定位到一次字符串比較步驟。
66.然後，以定位到的比較步驟為目標找到其所屬函數，使用程序分析技術分別生成所屬函數的函數內控制流程圖以及函數間控制流程圖，可以使用ghidra或angr等二進位靜態分析工具進行這一步操作。對於函數內控制流程圖，分析定位到的字符串比較步驟所處
基本塊的所有後續塊，檢查其中是否有滿足條件的控制操作特徵，如執行了system系統調用。對於函數間的控制流程圖，則分析比較步驟所屬函數所處基本塊的所有後續快，檢查是否有滿足條件的控制操作特徵。從而定位到一個對控制操作進行驗證的關鍵步驟。
67.步驟s3：從原程序中將與所述後門驗證關鍵代碼相關的代碼段剝離出來，得到完整的憑據生成過程代碼。其中，剝離是指將目標代碼從整個程序的代碼中分離出來的過程。剝離的處理方法包括汙點分析和程序切片技術。所述程序切片技術包括選取至少一個變量作為切片的源頭，然後根據程序變量和語句之間的定義以及使用關係將整個程序中所有與源變量相關的指令全部提取出來。所述使用關係包括：變量初始化、變量賦值和計算。
68.具體地，如圖3所示，以步驟s2中定位得到的調用字符串比較函數的相關代碼為目標，找到生成憑據對應的程序變量，使用程序切片技術，可以使用ghidra或angr等成熟的二進位靜態分析工具進行這一步操作，其目的是將與生成驗證憑據的相關代碼全部剝離出來，形成一段完整的憑據生成代碼片段。
69.步驟s4：對每一個所述憑據生成過程代碼進行數據抽象和過程建模處理，形成對驗證憑據的形式化描述，並計算所述形式化描述中各個輸入變量的語義和不確定度。其中，語義是指輸入本身所蘊含的意義，包括設備信息、配置和設備所存儲的用戶信息。不確定度的計算公式如下式：
70.h(xk)＝-∑p
hi
logp
ki
＝1,2,3,
…
,n
71.h(x)＝h(xk)＝1,2,3,
…
,m
72.式中，h(x)表示驗證憑據x的不確定度，h(xk)表示驗證憑據形式化描述中單個輸入變量xk的不確定度，p
ki
表示單個輸入變量xk中某種輸入值x
ki
的對應概率，n表示單個輸入變量xk所有可能的輸入值數量，m表示驗證憑據形式化描述中單個輸入變量的數量。
73.形式化描述是指使用嚴格的數學模型和方法準確、抽象、規範地描述事物的方式。具體地，通過形式化描述定義憑據為以若干個變量作為輸入，通過有限次的單射函數作用得到的輸出。
74.數據抽象和過程建模處理包括：對驗證生成代碼過程中涉及的變量進行抽象，識別變量的類型與長度，同時對驗證生成代碼過程中的對變量操作的函數進行抽象，識別函數的輸入輸出參數的類型與長度。驗證憑據的形式化描述根據生成代碼過程片段的調用流程圖以及數據流圖形成。
75.具體地，如圖4所示，首先，使用程序分析技術，對憑據生成代碼片段中調用的函數執行參數追蹤檢測，從而識別參數的數據類型與長度。這一步操作需要對憑據生成代碼片段中被調用的函數進行函數匹配：如果函數被識別為某種標準的密碼學api函數，則根據已有的函數摘要生成函數的輸入輸出參數信息；如果函數無法被識別，則根據驗證代碼片段中的調用情況推斷該函數的輸入輸出參數信息。
76.接著，使用程序分析技術得到憑據生成代碼過程片段的控制流圖及數據流圖，然後使用汙點追蹤技術，以代表憑據的變量作為匯聚點、設備信息及運行環境信息獲取函數如nvram_get、fgets、fread等函數作為汙點源，找到與憑據生成相關的所有輸入變量，得到驗證憑據關於若干個輸入變量的函數表達式。
77.最後，根據設備信息及運行環境信息獲取函數的調用參數識別輸入變量的語義以及長度，其中輸入變量的語義可以通過獲取函數調用參數中的特徵字符串進行標記。隨後
根據輸入變量的語義將其分為完全隨機的、可預測的以及完全確定的三種類別。根據長度計算輸入變量的最大不確定度，若輸入變量的長度為n比特，則最大不確定度根據公式即為n比特。接著根據輸入變量的分類計算其實際不確定度，例如完全確定的輸入變量其不確定度為0；對於可預測的輸入變量，若可能出現p種符號，假設每種符號出現的概率是一致的，則其不確定度根據公式計算為logp比特；對於完全隨機的輸入變量，其不確定度即為關於長度的最大不確定度。
78.步驟s5：根據所述各個輸入變量的語義和不確定度，判斷生成驗證憑據的所有輸入的不確定度是否小於其各自的最大不確定度，若是，則驗證憑據是可預測的，設備存在能夠通過可預測憑據觸發的後門；若否，則驗證憑據是不可預測的，對應的設備不存在能夠通過可預測憑據觸發的後門。
79.具體地，如圖4所示，對所有輸入變量的不確定度進行判別，如果生成驗證憑據的所有輸入中有若干輸入不確定度小於其各自的最大不確定度，或所有輸入中有若干輸入的類型為可預測的或完全確定的，則能夠判斷驗證憑據是可預測的，設備存在能夠通過可預測憑據觸發的後門。
80.實施例二
81.本發明還提供了一種物聯網設備憑據觸髮型後門的檢測系統，本領域技術人員可以通過執行所述物聯網設備憑據觸髮型後門的檢測方法的步驟流程實現所述物聯網設備憑據觸髮型後門的檢測系統，即可以將所述物聯網設備憑據觸髮型後門的檢測方法理解為所述物聯網設備憑據觸髮型後門的檢測系統的優選實施方式。
82.根據本發明提供的一種物聯網設備憑據觸髮型後門的檢測系統，包括：
83.模塊m1：對設備固件進行解壓形成二進位代碼庫。
84.模塊m2：逆向分析所述代碼庫中的可執行文件，利用字符串比較函數以及後門模型特徵定位後門驗證關鍵代碼。
85.具體地，首先，對代碼庫中可執行文件進行逆向分析，檢測文件中是否存在字符串比較函數以及對字符串比較函數的交叉引用，若是，則查詢交叉引用字符串比較函數的地址，根據所述地址找到調用字符串比較函數的函數，生成調用函數的函數控制流程圖；若否，則重新觸發模塊m2對下一個代碼庫文件進行檢測。
86.然後，在所述函數控制流程圖中查詢調用字符串比較函數的基本塊，對所述基本塊的後續塊進行後門特徵掃描，判斷所述後續塊中是否存在後門特徵，若是，則將調用字符串比較函數的基本塊所包含的代碼標記為憑據驗證關鍵代碼；若否，則觸發模塊m2.2查詢下一交叉引用字符串比較函數的地址。
87.模塊m3：從原程序中將與所述後門驗證關鍵代碼相關的代碼段剝離出來，得到完整的憑據生成過程代碼。剝離的處理方法包括汙點分析和程序切片技術。所述程序切片技術包括選取至少一個變量作為切片的源頭，然後根據程序變量和語句之間的定義以及使用關係將整個程序中所有與源變量相關的指令全部提取出來。所述使用關係包括：變量初始化、變量賦值和計算。
88.模塊m4：對每一個所述憑據生成過程代碼進行數據抽象和過程建模處理，形成對驗證憑據的形式化描述，並計算所述形式化描述中各個輸入變量的語義和不確定度。所述數據抽象和過程建模處理包括：對驗證生成代碼過程中涉及的變量進行抽象，識別變量的
類型與長度，同時對驗證生成代碼過程中的對變量操作的函數進行抽象，識別函數的輸入輸出參數的類型與長度。所述驗證憑據的形式化描述根據生成代碼過程片段的調用流程圖以及數據流圖形成。
89.語義是指輸入本身所蘊含的意義，包括設備信息、配置和設備所存儲的用戶信息。不確定度的計算公式如下式：
90.h(xk)＝-∑p
ki
logp
ki
＝1,2,3,
…
,n
91.h(x)＝h(xk)＝1,2,3,
…
,m
92.式中，h（x）表示驗證憑據x的不確定度，h（xk）表示驗證憑據形式化描述中單個輸入變量xk的不確定度，p
ki
表示單個輸入變量xk中某種輸入值x
ki
的對應概率，n表示單個輸入變量xk所有可能的輸入值數量，m表示驗證憑據形式化描述中單個輸入變量的數量。
93.模塊m5：根據所述各個輸入變量的語義和不確定度，判斷生成驗證憑據的所有輸入的不確定度是否小於其各自的最大不確定度，若是，則驗證憑據是可預測的，設備存在能夠通過可預測憑據觸發的後門；若否，則驗證憑據是不可預測的，對應的設備不存在能夠通過可預測憑據觸發的後門。
94.本領域技術人員知道，除了以純計算機可讀程序代碼方式實現本發明提供的系統、裝置及其各個模塊以外，完全可以通過將方法步驟進行邏輯編程來使得本發明提供的系統、裝置及其各個模塊以邏輯門、開關、專用集成電路、可編程邏輯控制器以及嵌入式微控制器等的形式來實現相同程序。所以，本發明提供的系統、裝置及其各個模塊可以被認為是一種硬體部件，而對其內包括的用於實現各種程序的模塊也可以視為硬體部件內的結構；也可以將用於實現各種功能的模塊視為既可以是實現方法的軟體程序又可以是硬體部件內的結構。
95.以上對本發明的具體實施例進行了描述。需要理解的是，本發明並不局限於上述特定實施方式，本領域技術人員可以在權利要求的範圍內做出各種變化或修改，這並不影響本發明的實質內容。在不衝突的情況下，本技術的實施例和實施例中的特徵可以任意相互組合。