当前位置：首页 > news >正文

三篇物联网漏洞挖掘综述

news 来源：原创 2025/6/8 11:50:59

由于物联网设备存在硬件资源受限、硬件复杂异构，代码、文档未公开的问题，物联网设备的漏洞挖掘存在较大的挑战：

硬件资源受限性: 通用动态二进分析技术需要在运行程序外围实施监控分析。由于物联网设备存储资源(存储)的受限性，无法部署相关的分析模块，导致动态分析技术无法适用。同时硬件 CPU 的计算能力有限，会造成动态分析性能下降。
硬件的复杂异构: 一方面，物联网设备 CPU 架构与通用平台不同，导致程序指令集上存在差异性。通用软件的指令架构通常是 X86 或 X86_64。而物联网程序通常采用 ARM、MIPS、PowerPC 等嵌入式架构。因此直接基于通用 CPU 指令汇编的静态分析方案不再适用。另一方面，物联网设备外围 I/O 硬件存在多样化，增加动态分析技术的适配难度。
代码、文档未公开: 对于通用软件，可以对源代码或者二进制程序进行分析以挖掘漏洞。而对于物联网设备而言，大多数程序均为定制的商业化程序，通常只能将设备固件作为分析对象，只有少量设备有相应的源代码以用于分析。因此，大量源代码分析技术不再适用于物联网设备漏洞挖掘。另外固件的组织形式和数据内容也区别于通用程序，因此基于二进制的静态分析技术也不能直接使用。

由于物联网设备自身的特点不仅为漏洞挖掘带来挑战，同时也带来了更多新的机遇：

系统交互的丰富性: 虽然是对物联网设备进行漏洞挖掘，但物联网设备通常会与终端、云等系统进行交互，因此设备本身存在更多的攻击面。对于动态二进制分析方案，可以充分利用外部交互系统的信息，对新的攻击面的进行测试分析。
组件代码的大量复用: 物联网设备程序在开发的过程中，为了节省开发成本，大量使用开源的第三方库，致使大量第三方组件的漏洞也存在于物联网设备中。之前基于二进制比对的静态分析技术主要是通过不同层次信息(控制流、程序块、指令级)的差异性来发现安全漏洞，而现在可以通过不同层次信息的相似性来挖掘同源漏洞。
漏洞类型的趋同性: 通用软件漏洞类型包含内存破坏类(栈溢出、堆溢出、空指针应用、二次释放等)、输入验证类(命令注入等)、配置错误类等。漏洞存在的位置可以是在内核、驱动、用户态服务程序中。而对于含有操作系统的物联网设备固件来说，同样存在这些类型的漏洞。因此无论是静态二进制还是动态二进制分析技术，通用的漏洞检测规则仍然适用于物联网设备固件和程序。

虽然通用平台的漏洞挖掘技术和工具不能完全适用于物联网设备，但大部分程序分析技术、安全测试思路和方案仍可用于物联网设备。因此，物联网设备漏洞挖掘技术仍然以通用程序分析和安全测试技术作为基础，结合物联网设备特点，开展了相关漏洞挖掘技术的研究。同时，通用漏洞挖掘技术仍然在蓬勃发展，给物联网设备漏洞挖掘技术不断注入新

当前的物联网设备的漏洞挖掘技术在静态分析、动态模糊测试、同源性分析技术上都有一定的进展。其中，静态分析技术能够有效解决固件的解析，以及固件中通用漏洞的分析问题。但对于物联网设备特定漏洞的高效分析，仍然缺乏深入的思考和探究。此外，对于无操作系统和包含特定嵌入式操作系统的固件，仍然缺少系统性的分析和研究。

对于模糊测试技术，目前能够实现部分设备(如路由器、网络摄像头)固件的高效仿真和灰盒测试，从而快速发现漏洞。但对于整个物联网设备生态，目前的模糊测试技术和工具仍然在输入生成、仿真、监控、异常检测等各个方面存在局限性。

对于同源性分析技术，目前的技术已支持大规模固件的多层次关联，从而实现同源漏洞的发现。之后的发展方向应该是针对特定漏洞类型，有效提取特征并进行编码，从而实现特定类型同源漏洞的精准，快速发现。

从固件获取开始，根据固件的不同类型，需要选择性的完成程序集提取、目标程序提取、程序表示、执行信息恢复等分析步骤。

固件获取: 该步骤通过多种方式获得固件以用于后续分析。获取方式主要分为两大类: 直接从物联网设备中提取，或是从厂商的官网进行下载。对于第一大类，共有两种方式。第一种是通过UART 或 JTAG 硬件调试接口登入系统并读取内存，从而恢复出固件内容; 第二种是直接利用读写器完成 flash 芯片内固件的直接提取。而本项目的数据来源是由奇安信所提供的1000个固件数据集，所以本项目不着重考虑获得固件数据。

固件格式分析: 该步骤分析固件的组织形式和数据内容。固件按照组织形式通常分为两类: 包含操作系统的固件和不包含操作系统的固件。在包含操作系统的固件中，大部分设备功能由用户程序完成，系统调用操作、程序加载过程、库函数调用均有规范的定义。其中，操作系统可以是通用操作系统，如定制化的 Linux，；也可以是特定嵌入式操作系统，如实时操作系统 VxWorks。在不包含特定操作系统的固件中，固件直接工作在设备上，包含了简单的任务调度等类操作系统功能。无论是哪一类型的固件，首先需要判断固件是否被压缩。若固件压缩，需先解压，然后再进一步分析。

固件程序提取技术: 该步骤是从包含操作系统的固件中提取所有的文件和程序。对包含操作系统的固件，由于操作系统和文件系统通常都在头部含有特征码或特征字符串，因此可以通过基于签名匹配的方式识别出操作系统镜像和文件系统，并进一步对文件系统进行解压，提取出所有文件和程序。

目标程序分析提取: 对含有操作系统的固件，该步骤对提取出的所有程序和文件集合，进一步提取出待分析的目标程序。当前，目标程序的提取主要是通过搜寻特定文件名实现。若目标程序是 Web 服务程序，只需搜索文件名包含 http 的文件，即可找到目标程序。这种方法通常直接且有效，但对于大规模固件的目标程序提取，具有较低的召回率。因此，大规模固件的特定目标服务程序提取技术仍需深入研究。

程序表示技术: 该步骤是将二进制代码以中间语言或汇编等形式表示。无论是对于无操作系统的固件或是待分析的目标服务程序，均需将二进制转换成汇编代码。有时为了屏蔽汇编指令格式的差异性，需进一步转化为统一的中间语言。

执行信息恢复技术: 该步骤将恢复程序的加载地址、入口地址等执行信息。对于包含操作系统的固件，其目标服务程序的文件格式(如广泛采用Linux 下的 ELF 可执行文件格式)通常是标准、公开的，逆向技术已经相当成熟。而对于无操作系统的固件程序，由于缺少固件执行的描述信息，导致程序信息恢复不完整，无法进一步实现精准的程序分析。缺失的信息包括: 第一，固件运行时的加载地址。这将导致很多跳转无法被解析; 即使已恢复出指令信息，控制流信息仍不完整。第二，程序入口地址。这将导致无法深入分析。

目前，目标程序提取与信息恢复技术能够有效解决包含操作系统的物联网设备固件的分析。从固件解压，文件系统解析，可执行程序解析到可执行程序的逆向，技术基本上已经成熟。而对于无操作系统设备固件分析，整个固件就是特殊的可执行程序，对该类固件的分析仍处于起步阶段。

在目标程序提取与信息恢复之后，通过建立漏洞分析规则，并结合静态程序分析技术，实现漏洞的挖掘。除了通用漏洞类型(如污点类漏洞)，物联网设备漏洞挖掘更关注特定漏洞类型和模块，如硬编码、认证绕过等后门漏洞。该漏洞类型属于物联网设备特定漏洞，通常为了方便设备调试人员进入系统或进行特权操作。其在物联网设备上普遍存在，而在通用程序上较为少见。

针对硬编码漏洞类型， Thomas等提出基于静态数据分析的漏洞挖掘方法。该工作首先识别出程序中的静态数据比对函数，通过提取函数特征并对静态数据比对函数进行建模来识别。接着通过程序控制流分析技术来判定静态数据比对的重要性，根据它影响代码块的独特性，之后进一步评估出函数的重要性。通过进一步对重要性函数的静态分析，发现了硬编码的认证后门漏洞，并恢复出 FTP、SOAP 协议的重要指令集。该工作具有很强的实用性，然而在后门漏洞挖掘与基于文本的协议指令恢复的这两个应用中，均不能保证准确性和召回率。因此，该方案在大规模测试中的适用性无法得到保证。为了进一步识别物联网设备固件程序中的后门， Thomas利用半监督学习的方法，构造了识别固件中二进制功能的分类器。并通过自定义二进制函数功能描述语言，识别二进制中的非预期功能。实验表明有96.45%的二进制功能的识别准确率，并在Tenda设备中挖掘出后门漏洞。

针对认证绕过漏洞类型， Shoshitaishvili等提出基于程序分析的物联网设备认证绕过漏洞的挖掘方法。首先，该工作人为定义程序特权点，包括未认证的情况下不能输出的数据、未认证情况下不可执行的系统操作、对内存绝对地址的访问、人工分析出的相关特权函数。在此基础上，构建固件代码的控制流、数据依赖、控制依赖图，然后基于切片技术生成到特权点的路径，并采用符号执行技术求解路径条件，从而发现物联网设备认证绕过漏洞。该工作采用切片技术对程序路径进行简化，使符号执行分析有较高的分析性能。然而，该工作无法解决程序被混淆之后的分析难题。

针对通用污点类漏洞类型， Cheng等提出物联网设备固件污点类漏洞的检测方法，主要通过函数分析提取变量描述、定义对、数据类型等信息，并解决函数数据流分析、指针别名分析、数据结构恢复等难题。该工作发现了8个已知漏洞和13个零日漏洞，且在时间开销上优于Angr。

针对协议解析模块， Cojocar等首次提出基于协议解析模块识别的物联网设备漏洞挖掘方法。该工作通过协议解析模块离散特征的提取以及分类器的构造，实现协议解析模块的精确识别，并聚焦于该类模块的漏洞挖掘，发现 GPS 接收器、电表、硬盘驱动、程序逻辑控制器多类型物联网设备的漏洞。在此基础上， Zheng 等提出基于多维度特征的应用层协议解析模块的识别技术，并与基于二进制属性图的可疑脆弱点推断技术相结合，实现污点类漏洞的快速发现。

目前基于程序分析的漏洞发现技术能够有效的针对特定漏洞类型(硬编码、认证绕过、污点类)和模块(协议解析模块)。然而这些研究工作大多需要人工辅助，自动化程度不足。此外，研究工作的分析对象仍然是用户程序。在针对物联网设备特定实时操作系统方面，仍然缺少相应的漏洞挖掘工作。

随着近些年人工智能的快速发展，其也被运用到了漏洞挖掘这个领域，尤其是静态分析方法。

在静态分析方法中，用的最多的是代码相似性检测。其通过对比待分析代码与漏洞代码的相似度来进行漏洞挖掘。因为人工智能中的模型的输入为向量的形式，所以就需要对待分析代码进行特征提取，从特征形式的角度，主要可以把其划分为四种，分别为代码度量，基于Token的表征，基于抽象语法树的表征，基于图的表征。

代码度量：代码度量可以作为表示代码特性的度量指标，常用的有代码行数、图复杂度、继承深度和类耦合等

基于Token的表征：基于 Token 的表征形式通过对源代码进行词法分析得到，即:在编译过程中扫描源代码的字符流，依据程序语言的词法规则标记源代码的标识符、关键字、函数名和运算符等重要信息，从而将源代码的字符流转换成等价 Token 序列

基于抽象语法树的表征：抽象语法树(abstract syntax tree，简称 AST)是编译过程中的一种中间表示形式，树节点上存储的是代码的语法结构信息。基于 AST 的表征形式通常先使用 LEX/YACC、FLEX/BISON、ANTLR 等开源的词法和语法分析工具进行预处理，生成词法分析器和语法分析器。接着对代码进行词法分析和语法分析，将分析的结果构建成 AST，对语法树节点进行编码作为代码的特征

基于图的表征：图是一种比树更为抽象复杂的表示形式，图的顶点之间是多对多的关系，并且不具有树结构中明确的父子节点层次划分.因此，基于图的表征形式能够反映代码中更丰富的语法和语义特征，有很好的检测能力.如常用的程序依赖图表示软件程序的控制依赖和数据依赖关系，控制流图(control flow graph，简称CFG)则是由编译器在内部维护的一种程序的抽象表现，代表了程序执行过程中会遍历到的所有路径.

相关文章：