一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法技术

本发明专利技术是一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，该方法包括如下步骤：(1)获取并解析物联网设备固件；(2)对步骤1中获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟；(3)在步骤2的基础上，在模拟过程中，进行一系列的干预行为；本发明专利技术通过QEMU模拟器对固件进行模拟仿真时，添加了干预行为，很好地提高了固件仿真的成功率，能够使得研究人员的精力进一步聚焦于各种物联网设备仿真的定制以及漏洞分析。洞分析。洞分析。

【技术实现步骤摘要】
一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法


[0001]本专利技术涉及一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，具体涉及物联网设备固件、仿真模拟及靶标构建，属于嵌入式系统安全


技术介绍

[0002]互联网发展至今，已经超越了个人电脑和大型服务器的网络，同时它还连接着数以百万计的嵌入式设备。这一新趋势被称为物联网，简称IoT。随着物联网的迅猛发展和嵌入式设备的广泛普及，该技术被广泛应用与工业、商业、农业以及智能交通、智能家居、智能医疗、智慧城市及智能物流等各个领域。用户通过手机、电脑等移动设备就可以在任何时间、任何地方对任何一个连接到网络上的嵌入式设备进行控制，比如，人们可以在回家途中使用手机连接到室内的空调，打开空调调节模式以便可以在进入家门时即可享受到凉爽或温暖的舒适环境；人们可以在办公室中用手机连接网络摄像头随时监控家中的任何异常情况，观察家中的电器是否关闭，是否有小偷入室盗窃等。但是，物联网设备的出现，给人们生活带来方便的同时，也带来了很多潜在的问题。嵌入式设备的处理器架构多样、功能各异，导致对于嵌入式设备的安全分析步骤复杂、专业知识要求严格，再加上人们的安全意识仍然薄弱，因此，目前对于嵌入式设备的安全研究发展较为缓慢。
[0003]嵌入式物联网设备的安全问题需要引起足够的重视，2016年9月美国多个地区的嵌入式物联网设备遭受大规模的DDoS，该事件是由一个名为Mirai的僵尸网络病毒引发的，Mirai能够感染网络摄像头、路由器、无线打印机等嵌入式设备，利用多个已知、未公开的漏洞进行入侵和控制，然后通过互联网对其他嵌入式设备进行感染，该病毒爆发高峰时，操控了数十万台嵌入式设备用来执行DDoS。美国多家大型互联网企业包括Amazon、Spotify、Twitter等的官方网站都受到该病毒影响而导致页面无法访问。为这些互联网企业提供域名访问的Dyn公司也在10月份遭受了大规模的DDoS，导致多家网站和在线服务无法访问，该事件也被称为“美东断网事件”。2017年5月，一种新型的勒索病毒WannaCry在全世界范围内爆发。该病毒借助高危漏洞“永恒之蓝”，利用Windows系统默认开放的445端口进行利用，并通过扫描同一网段内其他机器的端口进行自我复制和自我传播。在短时间内就迅速扩散，导致上百个国家，至少30万机器受到感染，共计损失高达80亿美元。2018年5月，思科安全团队公开了一款高可扩展性、高破坏性的恶意软件“VPNFilter”，该恶意软件能够烧坏设备来掩盖自身踪迹，还能监控设备流量盗取用户信息。其影响的设备类型大多是联网的网络设备和存储设备，据统计，VPNFliter已经感染了至少50个国家共计50万台物联网设备。
[0004]从这些重大漏洞利用事件的影响范围和出现频率可以看出，加快对于物联网设备的逆向工程、漏洞分析，不仅有助于促进传统产业转型升级，推动全球物联网发展，而且对于国家信息安全、网络数据保护、个人信息保障等方面也具有重大意义。
[0005]目前有许多在线设备扫描服务，如Shodan、Censys等，可以对互联网上所有的在线设备进行扫描并提供扫描得到的设备详细信息。这种易于使用的研究工具使安全研究人员
能够更加高效、快捷地识别可能暴露或可利用的嵌入式物联网设备。但是，这种全网扫描的缺点是仅可以针对嵌入式设备开放的端口进行漏洞扫描，如果设备没有开放端口或是根本没有联网，则无法对其进行漏洞分析。由于嵌入式物联网设备的种类繁多、功能各异，且固件中存在着各种各样的安全漏洞，因此针对嵌入式设备的安全研究非常困难，导致其受影响的面越来越大，频率也越来越高。各家设备厂商对于固件的安全检测和更新并不积极，用户在购买设备后也不会主动进行固件的升级，一旦某个嵌入式设备固件中发现漏洞，则会影响百万、甚至上千万数量的用户安全。
[0006]嵌入式物联网设备受到影响时，不仅损害了设备本身的安全性，更是威胁了整个计算机系统的稳固。为了解决如此众多的物联网设备中的安全问题，研究人员一直致力于大规模分析这些设备的固件。所以目前亟需进一步探究物联网设备的内部结构与运作原理，从设备本身固件入手，但是更多时候，研究人员手中并没有相应的设备。也就是说，获取各种固件成本低廉，而获取产品则需要花费一定财力。对固件的仿真模拟并将其应用到实际的网络靶场中的需求由此出现，进而帮助人们更好的理解固件，维护整个计算机系统的安全和稳固。

技术实现思路

[0007]针对目前最流行固件仿真框架的低成功率问题，本专利技术提出了一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，该方法通过对设备固件的获取，结合静态分析与动态分析，解析出固件，为提高仿真的成功率，要进行一系列的干预行为，之后模拟出目标固件所需环境。在虚拟化环境中，即可对已知漏洞进行复现、分析，并最终打包成靶标，方便研究人员研究。
[0008]为了达到上述目的，本专利技术是通过以下技术方案实现的：
[0009]一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，该方法从固件模拟的角度，对漏洞进行复现，并形成靶标，包括如下步骤：
[0010]步骤1：获取并解析物联网设备固件，在设备供应商官网上下载固件信息或通过硬件接入的方式直接读取存储芯片上的内容，或通过串口调试的方式获取到固件信息，并解析固件的二进制数据；
[0011]步骤2：对步骤1中获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟；
[0012]步骤3：在步骤2的基础上，在模拟过程中，进行一系列的干预行为；
[0013]步骤4：在步骤3的基础上，完成物联网设备固件漏洞的复现，并打包成一个靶标。
[0014]本专利技术的进一步改进在于：步骤1中固件获取与解析，在设备官网上获取固件信息，或者通过硬件接入直接读取固件存储芯片，绕过控制设备控制器(或处理器)，直接控制设备的Flash芯片，读取到芯片中的整片内容，或者利用UART串口调试来执行shell命令获取固件信息，并解析固件的二进制数据，具体为：
[0015](1)固件获取：首先在设备供应商官网上的技术支持区下载固件；当无法通过官网或售后获取固件时，可以通过编程器等硬件设备直接读取固件存储芯片，绕过控制设备控制器，直接控制设备的Flash芯片，读取到芯片中的内容；当无法通过官网或编程器的方式获取物联网设备固件时，终端设备的存储芯片通常挂载在文件系统上，可以使用UART调试
接口来使用终端设备shell获取固件，通过执行命令“cat/proc/mtd”看到boot、内核、文件系统等挂载的起始地址与字节大小，其中文件系统“rootfs”挂载的位置为mtd3，此时使用dd命令即可获取设备文件系统镜像，并使用ftp/tftp等方式将固件传出。
[0016](2)固件解析：嵌入式设备固件指存储在电可擦除只读存储器EEPROM或FLASH芯片中的一段二进制程序，固件中包含了嵌入式设备中的所有可执行程序以及配置文件，是嵌入式设备最为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，其特征在于：所述方法包括如下步骤：步骤1：获取并解析物联网设备固件，在设备供应商官网上下载固件信息或通过硬件接入的方式直接读取存储芯片上的内容，或通过串口调试的方式获取到固件信息，并解析固件的二进制数据；步骤2：对步骤1中获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟；步骤3：在步骤2的基础上，在模拟过程中，进行干预；步骤4：在步骤3的基础上，完成物联网设备固件漏洞的复现，并打包成一个靶标。2.根据权利要求1所述一种面向物联网设备固件仿真的漏洞分析及利用靶标构建的实现方法，其特征在于：所述步骤1包括：步骤1
‑
1：固件获取；首先在设备供应商官网上的技术支持区下载固件，当无法通过官网或售后获取固件时，通过编程器硬件设备直接读取固件存储芯片，绕过控制设备控制器，直接控制设备的Flash芯片，读取到芯片中的内容，当无法通过官网或编程器的方式获取物联网设备固件时，终端设备的存储芯片通常挂载在文件系统上，使用UART调试接口来使用终端设备shell获取固件；步骤1
‑
2：固件解析；固件有一个引导加载程序bootloader、内核kernel和文件系统filesystem这个映像通常以各种方式压缩，利用第三方固件分析工具Binwalk或Firmware
‑
Mod
...

【专利技术属性】
技术研发人员：沙乐天，王超逸，
申请(专利权)人：南京萌草信息技术有限公司，
类型：发明
国别省市：