[发明专利]一种基于语义冲突的硬编码后门检测方法

说明书

本发明属于后门检测技术领域，具体涉及一种基于语义冲突的硬编码后门检测方法。该方法从常用的字符串比较函数出发，结合MIPS和ARM指令集的特点，利用函数的调用关系、控制流图和分支选择依赖的字符串，识别固件中的口令后门。采用本发明方法对收集的1191个设备固件进行了测试，结果表明，本发明方法具有更好的检测效果，能够从数据集中成功检测出8个固件后门口令，召回率达到88.89%，远远优于其他后门检测方法。本发明方法既可以自动化大规模检测固件，又降低了误报率。

技术领域

本发明属于后门检测技术领域，具体涉及一种基于语义冲突的硬编码后门检测方法。

背景技术

路由器是互联网的核心交换设备，作为网络互连的基础，其安全问题一直是网络空间安全领域的研究重点。路由器安全问题主要存在两方面：一是路由器自身存在的后门或安全漏洞，被攻击者挖掘和利用；二是路由器缺乏有效安全的配置管理，容易遭到攻击、入侵或植入后门。相比于其他漏洞挖掘方法，模糊测试有着巨大的优势：自动化程度高，误报率低，不需要对目标程序的源代码或二进制程序进行分析，事实上已经成为最常用的漏洞挖掘方法。然而目前模糊测试仍然有其局限性：无法检测出逻辑错误和访问控制漏洞(即后门漏洞)。因此很少有对后门漏洞的检测与分析。

后门是指一种用于秘密绕过软件、计算机系统、密码机制等正常认证流程，获取计算机系统的访问权限或经密码系统加密后的明文的程序方法。最常见的后门之一就是硬编码后门，硬编码后门的来源可以分为两种：一是部分厂商出于对管理的需要会在程序中植入硬编码口令；二是攻击者对固件进行篡改植入的后门口令。口令后门设置方便，仅需要少量的代码实现，然而却不容易被发现，尤其是当使用混乱的字符串时，更难被逆向工程师发现，如在D-Link路由器中发现的口令“xmlset_roodkcableoj28840ybtide”。不论硬编码后门的来源，攻击者都可以利用后门口令控制设备、劫持流量或传播病毒。

近年来，对口令后门的检测方法主要有静态分析和符号执行两种方法。忽朝俭提出了一种基于嵌入式固件的库函数识别方法，用于无文件系统固件的后门检测。Costin首次提出大规模自动化分析嵌入式固件，使用模糊哈希的方式匹配固件中可能存在的弱密钥，通过关联分析的方式在四种不同维度查找固件的相似性，成功在693个固件中检测出38个未知漏洞。Thoma提出基于静态数据比较分析的方法Stringer检测商用设备固件中的硬编码后门。Firmalice使用静态程序分析生成固件的程序依赖图，获取一个从入口点到特权程序点的程序路径，再通过符号执行判断路径中是否具有确定性的约束，如果存在，就认定为后门。但是当前的静态检测方法自动化程度虽然较高，但同时也有着误报率高、检测效果不佳的问题；符号执行方法虽然准确率高，但无法大规模自动化检测固件，存在路径爆炸、耗时长的缺陷。

发明内容

针对目前后门检测存在的缺陷和问题，本发明提供一种基于语义冲突的硬编码后门检测方法。

本发明解决其技术问题所采用的方案是：一种基于语义冲突的硬编码后门检测方法，包括以下步骤：

步骤一、数据预处理：从网络中收集设备固件，使用固件分析工具解包固件提取文件系统的二进制文件；

步骤二、定位可疑函数：对二进制文件进行逆向分析，检测文件中是否存在f_checkStr函数；

如果存在，则找到交叉引用f_checkStr函数的地址，根据地址找到调用f_checkStr函数的函数，称为可疑函数；

如果不存在，则检测下个文件；

步骤三、构建有向拓扑图：根据步骤二定位的可疑函数CFG图，将block视为顶点node，块与块之间的跳转关系视为有向边edge，转换构建有向拓扑图G，

G＝{nodes,edges}

node＝{block.startEA,flag}