DIFUZE: Interface Aware Fuzzing for Kernel Drivers

开源项目地址：https://github.com/sslab-gatech/deadline

本文发表在CCS 2017，第一作者是来自圣塔芭芭拉大学的Jake Corina。本文的第七作者是来自圣塔芭芭拉大学的Giovanni Vigna。他的团队主要从事漏洞分析，web安全，固件分析，移动平台安全等研究，发表了多篇与安全相关的论文。

主要内容

操作系统内核通过驱动程序来管理众多物理设备，而驱动程序多由第三方厂商提供，这些驱动程序也存在着不少的漏洞。第三方驱动程序由于定制化，在传输数据的过程中普遍使用自定义的结构体，导致驱动程序输入数据类型结构非常复杂、输入的各个部分约束很强。ioctl函数作为管理用户态与内核驱动程序交互的枢纽，也具备上述各种特征。通过ioctl函数可能触发不少漏洞，同时ioctl函数也经常处理复杂、约束强的输入。然而，现有工作对于这样的情况很难处理。不论是利用污点分析还是利用反馈机制的fuzzing工具，在对ioctl()函数的fuzzing上都不能体现出较好的效果，而专门针对kernel的fuzzing工具也没有处理ioctl()接口这样复杂的情况。

在这个工作中，作者设计并完成了针对用户态与内核驱动关键接口ioctl()的fuzzing工具DIFUZE**。作者的思路是首先对内核代码进行静态分析，完成interface的recovery，获取interface的关键信息，并基于这些有效的信息去生成更加合理的fuzzing输入，得到一个更好的fuzzing效果。

主要思路

为了完成高效率的fuzzing，我们要求工具产生的输入尽可能的合理，符合接口的规范，因此最重要的工作是我们需要获取到接口输入的有效信息，获取接口允许的输入格式，允许的配对的参数类型。为了完成这个工作，我们需要三类信息来完成对接口输入信息的描述与规范：

1. Device name
2. command
3. command

可对应的结构体类型。获取到device name我们就能知道device的path等信息；获取到一个device支持的command种类和每种command可能对应的若干结构体，我们就能去构造合理的输入完成对特定device接口的fuzzing。

设计实现

处理流程

工具的整个处理流程如上图所示，其中最关键的是interface recovery。interface recovery主要包含以下步骤：

1. 使用GCC及LLVM编译kernel，用于静态分析

2. 识别驱动为处理交互创建的ioctl_handler函数

3. 在ioctl_handler函数中分析出设备名信息

4. 使用Range Analysis搜索判等表达式识别出command常量

5. 追踪接受了用户态参数的copy_from_user等方法，找到command可以对应的结构体名称，为所有command建立结构体对应表

6. 搜索整个kernel代码找到所有有效结构体的定义，并转换格式，记录在xml中

通过interface recovery后，作者能够利用这样有效的信息去生成有效合理的输入，

利用已有的优秀kernel fuzzing工具Syzkaller和作者完成的一个简单的工具MangoFuzz在流行的安卓设备上进行fuzzing测试。当执行过程中出现设备卡住或重启时，我们认为触发了漏洞，并记录下触发漏洞相关的信息。

实验

测试结果

作者在几大知名厂商的安卓手机上进行了测试。在基于Syzkaller工具的基础上，根据提供接口信息的多少分为若干个级别（从左往右依次是syzkaller base 不提供接口信息，syzkaller+path提供设备路径信息，DIFUZEi提供路径信息和command信息，DIFUZEs提供全部接口信息）进行验证; 同时也在自己的实现的简单的fuzzing 工具MangoFuzz上进行验证(DIFUZEm)，结果如上图所示。

可以看到，一般的fuzzer无法对ioctl()进行有效的fuzzing，而当给出的接口信息逐渐变多时，找到的漏洞数量也逐渐变多，效果也越好。对于Syzkaller 和Mango，两种fuzzer在漏洞的检测上表现出基本相同的效果。表明interface-aware 在fuzzing效果上起到决定性的作用。

评价

经过验证，DIFUZE相较于现有的fuzz工具在ioctl()接口上，确实存在着明显的优势。这也是显然的，DIFUZE相较于其他的工具在fuzzing这样一个需要超大信息量的接口上提供了足够的信息，支撑它挖掘出大于其他工具几个数量级的信息量。

这个工具没有在fuzzing方法上进行优化，而是在fuzzing的对象上进行了详细的分析，完成了一个定制化的interface-aware的fuzzing，提供了一个优秀合理的seed生成，同样完成了较好的漏洞检测。这篇文章给我们提供了一个思路是除了优化fuzzing方法，优化seed 生成也可以显著提升fuzzing效果。

文丨Harry, DR.XX, Robin