在本文中，我們將為讀者詳細(xì)介紹如何挖掘物聯(lián)網(wǎng)設(shè)備中的復(fù)雜惡意軟件。

[[354411]]

這篇文章的動(dòng)機(jī)之一，就是鼓勵(lì)對(duì)這個(gè)話題感興趣的其他研究人員加入進(jìn)來，分享自己的想法和知識(shí)，建立更多的安全工具，以便更好地保護(hù)我們的智能設(shè)備。

研究背景

智能手表、智能家居設(shè)備甚至智能汽車……隨著越來越多的聯(lián)網(wǎng)設(shè)備加入物聯(lián)網(wǎng)生態(tài)系統(tǒng)，確保其安全性的重要性已經(jīng)變得不言而喻了。

眾所周知，現(xiàn)在已經(jīng)成為我們生活中不可分割的一部分的智能設(shè)備，在面對(duì)各種網(wǎng)絡(luò)攻擊時(shí)，還不是非常安全。實(shí)際上，針對(duì)物聯(lián)網(wǎng)設(shè)備的惡意軟件已經(jīng)存在十多年了。其中，Hydra是第一個(gè)已知的自動(dòng)化路由器惡意軟件，于2008年以開源工具的形式被公之于眾。不過，Hydra只是一個(gè)開源的路由器惡意軟件原型。在Hydra問世之后不久，安全專家又發(fā)現(xiàn)了針對(duì)網(wǎng)絡(luò)設(shè)備的在野惡意軟件。此后，不同的僵尸網(wǎng)絡(luò)家族相繼出現(xiàn)并廣為流傳，包括Mirai、Hajime和Gafgyt等家族。

除了以上提到的惡意軟件外，在物聯(lián)網(wǎng)設(shè)備中使用的通信協(xié)議中也爆出了許多漏洞，比如Zigbee協(xié)議，攻擊者可以將某一設(shè)備作為攻擊目標(biāo)，并在得手后向網(wǎng)絡(luò)中的其他設(shè)備傳播惡意軟件，這種行為非常類似于計(jì)算機(jī)蠕蟲。

在這項(xiàng)研究中，我們重點(diǎn)挖掘針對(duì)物聯(lián)網(wǎng)設(shè)備的低層復(fù)雜攻擊。準(zhǔn)確來說，我們將特別關(guān)注物聯(lián)網(wǎng)設(shè)備的固件，以挖掘后門植入、對(duì)引導(dǎo)過程的篡改以及對(duì)固件其他部分的惡意篡改。

下面，讓我們先來介紹物聯(lián)網(wǎng)設(shè)備固件的結(jié)構(gòu)，以便更好地了解其中的各個(gè)組成部分。

IoT固件結(jié)構(gòu)

無論物聯(lián)網(wǎng)設(shè)備的CPU采用了哪種架構(gòu)，啟動(dòng)過程由以下幾個(gè)階段組成：引導(dǎo)加載程序、內(nèi)核和文件系統(tǒng)(如下圖所示)。當(dāng)物聯(lián)網(wǎng)設(shè)備啟動(dòng)時(shí)，板載SoC(片上系統(tǒng))上的ROM中的代碼首先會(huì)將控制權(quán)轉(zhuǎn)移到引導(dǎo)加載程序，之后，引導(dǎo)加載程序?qū)⒓虞d內(nèi)核，而內(nèi)核則會(huì)掛載根文件系統(tǒng)。

引導(dǎo)加載程序、內(nèi)核和文件系統(tǒng)也構(gòu)成了典型的物聯(lián)網(wǎng)固件的三個(gè)主要組成部分。 

 

物聯(lián)網(wǎng)設(shè)備的引導(dǎo)過程

物聯(lián)網(wǎng)設(shè)備中使用的CPU架構(gòu)有很多種。因此，為了分析和理解固件的不同組件，就需要對(duì)這些深入了解這些架構(gòu)以及其指令集。在物聯(lián)網(wǎng)設(shè)備中，最常見的CPU架構(gòu)包括：

• ARM
• MIPS
• PowerPC
• SPARC

可能的攻擊場(chǎng)景

了解了固件結(jié)構(gòu)后，我們就可以考察攻擊者在部署難以檢測(cè)的隱形攻擊時(shí)，會(huì)如何利用這些組件了。

引導(dǎo)加載程序是第一個(gè)獲得系統(tǒng)控制權(quán)的組件。因此，以引導(dǎo)加載程序?yàn)槟繕?biāo)的攻擊，為攻擊者提供了執(zhí)行惡意任務(wù)的絕佳機(jī)會(huì)。這也意味著攻擊可以在重啟后保持持久性。

除此之外，攻擊者還可以操縱內(nèi)核模塊。實(shí)際上，大多數(shù)物聯(lián)網(wǎng)設(shè)備使用的都是Linux內(nèi)核。就像開發(fā)者很容易從Linux內(nèi)核中定制和選擇他們需要的任何東西一樣，一個(gè)能夠設(shè)法訪問和操縱設(shè)備固件的攻擊者也可以添加或編輯內(nèi)核模塊。

下面，我們來考察文件系統(tǒng)。實(shí)際上，許多常用的文件系統(tǒng)都可以用于物聯(lián)網(wǎng)設(shè)備。這些文件系統(tǒng)通常很容易被攻擊者所利用。攻擊者可以從固件中提取、解壓縮并安裝原始文件系統(tǒng)，添加惡意模塊，然后使用通用實(shí)用程序再次對(duì)其進(jìn)行壓縮。例如，SquashFS是一個(gè)Linux的壓縮文件系統(tǒng)，在物聯(lián)網(wǎng)廠商中相當(dāng)流行。通過Linux實(shí)用程序“squashfs”和“unsquashfs”，我們就可以非常輕松地掛載或解壓SquashFS文件系統(tǒng)。

本研究所面臨的挑戰(zhàn)

獲取固件

實(shí)際上，有多種獲取固件的方法。在進(jìn)行調(diào)查時(shí)，有時(shí)我們希望獲得的固件屬于規(guī)格完全相同的設(shè)備。同時(shí)，我們還希望通過某些特定方式將其部署在設(shè)備上。例如，您懷疑用于更新固件的網(wǎng)絡(luò)存在安全問題，并且考慮到在供應(yīng)商的服務(wù)器和設(shè)備之間進(jìn)行過渡時(shí)固件存在被篡改的可能性，因此，您想調(diào)查更新的固件以驗(yàn)證其完整性。在另一個(gè)示例場(chǎng)景中，您的設(shè)備可能是從第三方供應(yīng)商處購(gòu)買的，并懷疑固件可能被動(dòng)過手腳了。

除此之外，還有大量的物聯(lián)網(wǎng)設(shè)備，其制造商根本就沒有實(shí)現(xiàn)任何獲取固件的方法，甚至根本沒有考慮要更新固件。也就是說，這些固件從設(shè)備出廠之日開始，終生不變。

在這種情況下，獲取這些固件的最可靠方法是從設(shè)備本身提取固件。

這里的主要挑戰(zhàn)是，這個(gè)過程不僅需要特定領(lǐng)域的相關(guān)知識(shí)，還需要具備使用嵌入式系統(tǒng)的專業(yè)硬件/軟件經(jīng)驗(yàn)。如果要挖掘針對(duì)IoT設(shè)備的復(fù)雜攻擊，這種方法也缺乏可擴(kuò)展性。

在獲得IoT固件的各種方法中，最簡(jiǎn)單的方法就是從設(shè)備制造商的網(wǎng)站下載固件。但是，并非所有制造商都在其網(wǎng)站上發(fā)布其固件。通常情況下，大部分IoT設(shè)備只能通過設(shè)備物理接口或用于管理設(shè)備的特定軟件應(yīng)用程序(例如移動(dòng)應(yīng)用程序)來進(jìn)行更新。

當(dāng)從供應(yīng)商的網(wǎng)站下載固件時(shí)，一個(gè)常見的問題是，你可能無法找到特定設(shè)備型號(hào)的舊版本固件。我們也不要忘記，在許多情況下，發(fā)布的固件二進(jìn)制文件是加密的，它們只能通過設(shè)備上安裝的舊固件模塊來進(jìn)行解密。

了解固件

根據(jù)Wikipedia的說法，“固件是一種特殊的計(jì)算機(jī)軟件，用于為設(shè)備的特定硬件提供底層控制。固件既可以為更復(fù)雜的設(shè)備軟件提供標(biāo)準(zhǔn)化的操作環(huán)境(提高硬件的獨(dú)立性)，也可以為不太復(fù)雜的設(shè)備充當(dāng)設(shè)備的完整操作系統(tǒng)，來提供所有的控制、監(jiān)視和數(shù)據(jù)處理功能。”

盡管固件的主要組件幾乎都是一樣的，但固件并沒有標(biāo)準(zhǔn)的架構(gòu)。

固件的主要組件通常是引導(dǎo)加載程序、內(nèi)核模塊和文件系統(tǒng)組成。但是，在固件二進(jìn)制文件中還可以找到許多其他組件，例如設(shè)備樹、數(shù)字證書以及其他設(shè)備特有的資源和組件。

一旦從廠商網(wǎng)站上獲取了固件的二進(jìn)制文件后，我們就可以著手進(jìn)行分析，并對(duì)其進(jìn)行反匯編處理了。鑒于固件的特殊性，其分析過程不僅具有很大的挑戰(zhàn)性，并且非常繁瑣。要獲取有關(guān)這些挑戰(zhàn)及其解決方案的詳細(xì)信息，請(qǐng)參閱“IoT固件分析”部分。

查找固件中的可疑元素

在固件的組件被提取后，您就可以開始尋找可疑的模塊、代碼片段或針對(duì)組件的惡意篡改了。

首先，我們可以根據(jù)一組YARA規(guī)則來掃描文件系統(tǒng)內(nèi)容，并且，這些規(guī)則可以基于已知的IoT惡意軟件或啟發(fā)式規(guī)則。此外，我們還可以使用防病毒掃描程序來掃描經(jīng)過解壓縮處理的文件系統(tǒng)的內(nèi)容。

同時(shí)，您還可以在文件系統(tǒng)中查找啟動(dòng)腳本。這些腳本中通常會(huì)包含每次系統(tǒng)啟動(dòng)時(shí)所加載的模塊列表。而惡意模塊的地址就很可能會(huì)被插入到這些腳本中。

在這里，我們可以利用Firmwalker工具來掃描解壓縮的文件系統(tǒng)，查找潛在的易受攻擊的文件。 

 

Firmwalker的功能(https://craigsmith.net/Firmwalker/)

另一個(gè)需要研究的地方是引導(dǎo)加載程序組件，盡管這更具有挑戰(zhàn)性。

在物聯(lián)網(wǎng)設(shè)備中有很多常用的引導(dǎo)加載程序，其中U Boot是最常見的。實(shí)際上，由于U Boot具有高度的可定制性，這使得確定編譯后的代碼是否被操縱變得非常困難。另外，在不常見或自定義的引導(dǎo)加載程序中查找惡意修改將會(huì)更加繁瑣。

IoT固件分析

目前，已經(jīng)有許多開源和閉源工具可以幫助我們來分析固件。不過，實(shí)際工作中我們最好采用經(jīng)驗(yàn)豐富的固件分析師所推薦的工具和技術(shù)組合。

下面，讓我們從功能最為豐富的固件分析工具Binwalk開始介紹。Binwalk可以用來掃描固件二進(jìn)制文件并查找已知的模式和簽名。

該工具不僅擁有IoT設(shè)備各種引導(dǎo)加載器和文件系統(tǒng)的簽名集合，還提供了用于普通加密和壓縮算法的簽名，以及用于解壓縮和解碼的相應(yīng)例程。

除此之外，Binwalk還能夠提取在固件二進(jìn)制文件中發(fā)現(xiàn)的組件。

下面的截圖顯示了Binwalk掃描一個(gè)樣本固件二進(jìn)制文件后的輸出結(jié)果： 

 

Binwalk工具的掃描結(jié)果

在上圖中，Binwalk已經(jīng)找到并打印出了頭部信息、引導(dǎo)加載程序、Linux內(nèi)核以及文件系統(tǒng)。此外，還輸出了從頭部信息和組件本身提取出的元數(shù)據(jù)的相關(guān)細(xì)節(jié)信息，如每個(gè)組件的類型和大小、CRC校驗(yàn)和、重要地址、CPU架構(gòu)、鏡像名稱等?，F(xiàn)在，我們可以繼續(xù)使用Binwalk來提取上述組件，或者根據(jù)Binwalk找到的起始偏移量手動(dòng)計(jì)算其大小，并提取相關(guān)組件。

提取完固件的組成部分后，我們還可以繼續(xù)提取、解壓甚至掛載文件系統(tǒng)，以考察文件系統(tǒng)的內(nèi)容。當(dāng)然，我們也可以在反匯編器中查看引導(dǎo)加載程序的代碼，或者通過調(diào)試器對(duì)其進(jìn)行調(diào)試。

然而，固件分析并不總是那么簡(jiǎn)單。實(shí)際上，由于固件種類太過繁多，以至于理解其結(jié)構(gòu)和提取組件通常是相當(dāng)繁瑣的。

下面，讓我們仔細(xì)考察另一個(gè)樣本固件，并嘗試了解它的結(jié)構(gòu)。

1. Binwalk firmware.bin

Binwalk的掃描結(jié)果中沒有顯示任何內(nèi)容。這意味著Binwalk沒有發(fā)現(xiàn)任何已知的簽名。 

 

Binwalk的掃描結(jié)果

在這種情況下，我們發(fā)現(xiàn)簡(jiǎn)單的Binwalk掃描沒有太大的幫助。但是，請(qǐng)注意，我們還可以使用其他工具和技術(shù)來深入了解固件的結(jié)構(gòu)。

2. File firmware.bin

下面讓我們利用Linux系統(tǒng)的file實(shí)用程序來考察這個(gè)固件的二進(jìn)制文件。 

 

File實(shí)用工具的輸出結(jié)果

File實(shí)用程序?qū)⒃撐募念愋惋@示為Targa圖像數(shù)據(jù)。通過查看二進(jìn)制文件的頭部，并對(duì)Targa圖像數(shù)據(jù)簽名進(jìn)行Google搜索，發(fā)現(xiàn)這顯然是誤報(bào)。 

 

固件二進(jìn)制文件的第一個(gè)字節(jié)的內(nèi)容

之所以出現(xiàn)這種誤報(bào)，是因?yàn)檫@個(gè)固件文件的第一個(gè)字節(jié)的內(nèi)容0x01010000與Targa圖像數(shù)據(jù)的簽名相匹配，具體請(qǐng)看上面的截圖。

3. Binwalk -E firmware.bin

現(xiàn)在，讓我們開始使用Binwalk工具的另一個(gè)功能：檢查固件二進(jìn)制文件的熵。

使用“-E”命令選項(xiàng)運(yùn)行Binwalk時(shí)，會(huì)輸出固件二進(jìn)制文件的熵圖，以及一些額外的詳細(xì)信息，如熵增和熵減的起始處的偏移量。 

 

與熵相關(guān)的詳細(xì)信息 

 

熵圖

熵值接近1的內(nèi)容表示經(jīng)過了壓縮處理，而熵值較低的內(nèi)容表示未壓縮和未加密。從上面的截圖可以看出，偏移量55296(0xD800)開始，熵值進(jìn)入高值區(qū)。

此外，還有另一個(gè)工具可以用來對(duì)二進(jìn)制文件進(jìn)行可視化處理：binvis.io。通過它，我們可以通過兩個(gè)并排的窗格來考察固件文件的內(nèi)容，并將其可視化。對(duì)于文件的不同的部分，會(huì)根據(jù)熵值以不同的顏色加以顯示。 

 由binvis.io創(chuàng)建的固件的可視化結(jié)果

4. Binwalk -A firmware.bin

此外，Binwalk還可以掃描二進(jìn)制文件，以尋找常見的可執(zhí)行操作碼的簽名。 

 

在文件中發(fā)現(xiàn)的第一個(gè)函數(shù)序言 

 

在文件中發(fā)現(xiàn)的最后一個(gè)函數(shù)序言

從上面的截圖中我們可以看到，操作碼簽名檢查結(jié)果其實(shí)是非常有用的! 首先，我們可以藉此判斷出該固件屬于ARM設(shè)備。

其次，如果我們考慮到第一個(gè)和最后一個(gè)函數(shù)序言簽名的偏移量，我們可以得到這樣一個(gè)結(jié)論，即這些偏移量指向固件二進(jìn)制文件中存放代碼的段(sections)。

從截圖中我們還可以看到，最后一個(gè)函數(shù)是在地址0xD600處找到的，也就是在熵上升的部分之前的0x200字節(jié)處。由此，我們可以進(jìn)行一個(gè)有根據(jù)的猜測(cè)：這個(gè)偏移量很可能指向引導(dǎo)加載程序代碼的結(jié)束位置，同時(shí)，也是壓縮后的內(nèi)核模塊的開始位置。

5. Hexdump -C 

hexdump -C firmware.bin | grep -C 4 -e “^\*$” 

現(xiàn)在，我們知道了固件文件中一些組件的大致邊界，接下來，我們就可以通過查看這些區(qū)域周圍固件文件的實(shí)際內(nèi)容來確認(rèn)這些邊界的具體偏移量了。

如果我們通過hexdump來處理固件文件，并尋找只包含星號(hào) "*"的代碼行，我們就可以找到每個(gè)固件組件的編譯器添加的填充字節(jié)。 

 

固件二進(jìn)制文件的內(nèi)容 

 

固件二進(jìn)制文件其他部分的內(nèi)容

通過Hexdump實(shí)用程序的輸出內(nèi)容，加上之前的發(fā)現(xiàn)，我們就能確認(rèn)該固件二進(jìn)制文件中包含ARM代碼的部分。我們之前曾懷疑這段代碼屬于引導(dǎo)加載程序。

6. Strings –radix=x firmware.bin

接下來，讓我們從固件中提取ASCII字符串以及相關(guān)的偏移量。 

 

最后在固件二進(jìn)制文件中找到的ASCII碼字符串

從上面的截圖來看，其中有一些是與模塊入口點(diǎn)相關(guān)的字符串。這些字符串可以幫助我們更好地了解相關(guān)代碼的性質(zhì)。

在下面的截圖中，我們可以從固件二進(jìn)制的開頭部分看到一些讓人感興趣的字符串。例如，庫(kù)名“MctlApplet.cpp”可以用來查找來自同一開發(fā)商的其他二進(jìn)制文件或軟件包。擁有來自同一廠商的其他固件鏡像有助于更好地理解這些二進(jìn)制文件的結(jié)構(gòu)。

從同一截圖中，另一個(gè)引起我們關(guān)注的字符串是“Not Booting from softloader”，它可能用于表示進(jìn)程狀態(tài)，或這個(gè)模塊的性質(zhì)。

同時(shí)，含有“Assert()”的字符串也可能暗示代碼的不同信息。使用Asserts函數(shù)是固件開發(fā)中非常常見的一種做法，因?yàn)樗梢詭椭_發(fā)人員在開發(fā)和生產(chǎn)階段調(diào)試和排除代碼中的故障。 

 

在固件二進(jìn)制文件中找到的第一個(gè)ASCII字符串

7. IDA -parm firmware.bin

到目前為止，我們已經(jīng)從這個(gè)固件二進(jìn)制中收集到了很多有價(jià)值的信息，而這些信息在一開始看來是相當(dāng)難以理解的。

現(xiàn)在，讓我們使用IDA來考察這些代碼。由于這個(gè)二進(jìn)制文件不是一個(gè)具有標(biāo)準(zhǔn)頭部的ELF文件，因此，我們需要顯式地告訴IDA使用ARM指令集來反匯編代碼。 

 

IDA中函數(shù)部分的反匯編視圖

上面來自IDA的屏幕截圖顯示了如何使用在前面的分析步驟中找到的字符串來幫助查找對(duì)內(nèi)核模塊入口點(diǎn)的調(diào)用。

8. dd

現(xiàn)在，我們可以繼續(xù)提取固件二進(jìn)制代碼部分，我們分析后發(fā)現(xiàn)該部分屬于引導(dǎo)加載程序模塊。

9. Qemu

從固件二進(jìn)制文件中提取所有模塊(文件系統(tǒng)內(nèi)容、內(nèi)核模塊和其他組件)之后，我們就可以使用Qemu來運(yùn)行這些二進(jìn)制文件了，甚至可以模擬運(yùn)行與我們自己機(jī)器的體系結(jié)構(gòu)不同的文件，并與它們進(jìn)行交互。

小結(jié)

如今，物聯(lián)網(wǎng)設(shè)備的數(shù)量正在與日俱增。從工業(yè)控制系統(tǒng)、智慧城市、汽車到消費(fèi)級(jí)設(shè)備，如手機(jī)、網(wǎng)絡(luò)設(shè)備、個(gè)人助理、智能手表以及種類繁多的智能家電等，到處都可以看到物聯(lián)網(wǎng)設(shè)備的身影。

物聯(lián)網(wǎng)設(shè)備源自于已經(jīng)存在多年的嵌入式系統(tǒng)。由于這些設(shè)備的自身特性的緣故，嵌入式設(shè)備軟件的制造和開發(fā)一直有著不同于通用計(jì)算機(jī)系統(tǒng)的優(yōu)先考慮事項(xiàng)。這些優(yōu)先事項(xiàng)是由設(shè)備本身的有限和特定功能、底層硬件的有限能力和容量以及所開發(fā)的代碼無法進(jìn)行后續(xù)更改和修改所決定的。同時(shí)，物聯(lián)網(wǎng)設(shè)備與傳統(tǒng)的嵌入式系統(tǒng)還是具有顯著的差異的。如今，大多數(shù)物聯(lián)網(wǎng)設(shè)備都在具有與通用計(jì)算機(jī)系統(tǒng)相似功能的硬件上運(yùn)行。

隨著物聯(lián)網(wǎng)設(shè)備變得越來越普遍，它們現(xiàn)在正在訪問和控制我們生活和日?；?dòng)的許多方面。物聯(lián)網(wǎng)設(shè)備現(xiàn)在有可能給攻擊者帶來前所未有的入侵機(jī)會(huì)。這不僅凸顯了物聯(lián)網(wǎng)設(shè)備安全的重要性，也彰顯了圍繞這一主題進(jìn)行研究的現(xiàn)實(shí)意義。不過，好消息是，目前已經(jīng)有許多工具和技術(shù)可用于協(xié)助安全研究人員進(jìn)行該領(lǐng)域當(dāng)前和未來的相關(guān)研究。掌握物聯(lián)網(wǎng)設(shè)備的架構(gòu)，學(xué)習(xí)這些設(shè)備所用的語言，以及堅(jiān)定的決心和毅力是進(jìn)入這個(gè)研究領(lǐng)域所必需的。