面向新一代固件接口標(biāo)準(zhǔn)的固件模糊測(cè)試系統(tǒng)

馬佳敏1，潘 理1，姚頡文2

(1.上海交通大學(xué)電子信息與電氣工程學(xué)院電子工程系，上海 200240；2.Intel亞太研發(fā)有限公司，上海 200336)

1 概述

計(jì)算機(jī)固件的執(zhí)行權(quán)限高于操作系統(tǒng)，能實(shí)現(xiàn)對(duì)所有硬件設(shè)備的直接控制，同時(shí)也是操作系統(tǒng)安全機(jī)制的盲區(qū)所在。惡意代碼利用固件安全漏洞能輕易劫持操作系統(tǒng)，甚至破壞硬件本身。統(tǒng)一可擴(kuò)展固件接口(Unified Extensible Firmware Interface,UEFI)[1]是新一代的計(jì)算機(jī)固件接口標(biāo)準(zhǔn)。UEFI固件超過(guò)99%的編碼用C語(yǔ)言完成，更是引入了完整的網(wǎng)絡(luò)協(xié)議棧。膨脹的代碼量以及基于C語(yǔ)言的實(shí)現(xiàn)，均可能導(dǎo)致UEFI固件漏洞數(shù)的大幅增加。一些C語(yǔ)言下常見(jiàn)的代碼安全漏洞，如緩沖區(qū)溢出漏洞、格式化串漏洞等，很可能被惡意代碼利用。

目前常見(jiàn)的代碼漏洞檢測(cè)方式有靜態(tài)漏洞分析和動(dòng)態(tài)漏洞分析2種，其中前者以語(yǔ)法、詞法分析為基礎(chǔ)，分析被測(cè)程序特征，通過(guò)匹配漏洞數(shù)據(jù)庫(kù)或規(guī)則列表的方式定位漏洞[2-4]；后者通過(guò)執(zhí)行目標(biāo)代碼，監(jiān)測(cè)異常狀態(tài)的方式檢測(cè)漏洞。典型的動(dòng)態(tài)漏洞分析有模糊測(cè)試法[5-7]和信息流追蹤法[8-9]2種，前者通常包含隨機(jī)數(shù)據(jù)生成器，通過(guò)大量的測(cè)試用例測(cè)試目標(biāo)代碼；后者通過(guò)監(jiān)控輸入數(shù)據(jù)在程序執(zhí)行過(guò)程中遺留在內(nèi)存或寄存器中的痕跡來(lái)判斷是否有漏洞。靜態(tài)漏洞分析法檢測(cè)漏洞的能力取決于對(duì)程序特征的描述以及漏洞庫(kù)的豐富性，局限性過(guò)高。動(dòng)態(tài)漏洞分析中的信息流追蹤法主要針對(duì)緩沖區(qū)溢出漏洞，通用性不高。而模糊測(cè)試法流程簡(jiǎn)單、通用性高，在操作系統(tǒng)和網(wǎng)絡(luò)漏洞檢測(cè)領(lǐng)域已經(jīng)獲得了廣泛應(yīng)用[10]，能有效應(yīng)用于UEFI固件漏洞檢測(cè)中。

本文基于UEFI的開(kāi)源實(shí)現(xiàn)平臺(tái)可擴(kuò)展固件開(kāi)發(fā)套件(EFI Development Kit,EDK)II[11]，設(shè)計(jì)開(kāi)發(fā)面向UEFI固件的模糊測(cè)試系統(tǒng)。本文系統(tǒng)實(shí)現(xiàn)為客戶端/服務(wù)端模式，在服務(wù)端通過(guò)專門的測(cè)試數(shù)據(jù)生成引擎生成測(cè)試數(shù)據(jù)，客戶端為測(cè)試用例獲取測(cè)試數(shù)據(jù)提供統(tǒng)一的編程接口。該方案所采用的測(cè)試邏輯與測(cè)試數(shù)據(jù)生成相分離。通過(guò)對(duì)比UEFI下自我認(rèn)證測(cè)試系統(tǒng)[12]的代碼覆蓋率，并以一個(gè)實(shí)際UEFI固件漏洞為例，說(shuō)明該模糊測(cè)試系統(tǒng)的漏洞檢測(cè)效果。

2 模糊測(cè)試系統(tǒng)架構(gòu)

模糊測(cè)試系統(tǒng)通常由測(cè)試框架、功能模塊、測(cè)試數(shù)據(jù)生成引擎以及測(cè)試用例集構(gòu)成。其中，測(cè)試框架負(fù)責(zé)自動(dòng)化執(zhí)行測(cè)試用例，對(duì)測(cè)試環(huán)境進(jìn)行初始化和清理操作；功能模塊為模糊測(cè)試系統(tǒng)提供相應(yīng)功能，如記錄系統(tǒng)執(zhí)行狀態(tài)，為測(cè)試用例提供編程接口等；測(cè)試數(shù)據(jù)生成引擎負(fù)責(zé)測(cè)試數(shù)據(jù)的生成；測(cè)試用例集由針對(duì)不同目標(biāo)代碼的測(cè)試用例構(gòu)成，以測(cè)試數(shù)據(jù)生成引擎提供的測(cè)試數(shù)據(jù)為輸入，執(zhí)行目標(biāo)代碼進(jìn)行測(cè)試。

衡量模糊測(cè)試系統(tǒng)性能好壞的一個(gè)重要標(biāo)準(zhǔn)是代碼覆蓋率，即測(cè)試用例在執(zhí)行目標(biāo)代碼時(shí)，測(cè)試數(shù)據(jù)所通過(guò)目標(biāo)代碼占全部目標(biāo)代碼的百分比。測(cè)試數(shù)據(jù)生成引擎提供的測(cè)試數(shù)據(jù)質(zhì)量高低，很大程度上決定了測(cè)試用例的代碼覆蓋率。好的測(cè)試數(shù)據(jù)有助于觸發(fā)需要滿足特定條件的安全漏洞。而在UEFI環(huán)境下實(shí)現(xiàn)這樣一個(gè)測(cè)試數(shù)據(jù)生成引擎代價(jià)過(guò)高，且很難保證生成測(cè)試數(shù)據(jù)的質(zhì)量。因此，采用Peach[13]作為系統(tǒng)中的測(cè)試數(shù)據(jù)生成引擎。Peach是開(kāi)源、通用的智能模糊測(cè)試平臺(tái)，以能生成高質(zhì)量的測(cè)試數(shù)據(jù)著稱。不過(guò)UEFI固件對(duì)Peach的運(yùn)行環(huán)境支持并不成熟，因此，Peach需要運(yùn)行在傳統(tǒng)的操作系統(tǒng)上。

根據(jù)以上分析，將模糊測(cè)試系統(tǒng)實(shí)現(xiàn)為位于遠(yuǎn)端主機(jī)和目標(biāo)主機(jī)的2個(gè)部分，前者負(fù)責(zé)測(cè)試數(shù)據(jù)的生成；后者負(fù)責(zé)對(duì)由UEFI固件中各個(gè)服務(wù)、協(xié)議構(gòu)成的目標(biāo)代碼的測(cè)試，如圖1所示。

圖1 模糊測(cè)試系統(tǒng)架構(gòu)

遠(yuǎn)端主機(jī)由運(yùn)行在操作系統(tǒng)上的測(cè)試數(shù)據(jù)生成引擎Peach和模糊測(cè)試服務(wù)端構(gòu)成；目標(biāo)主機(jī)由運(yùn)行在UEFI環(huán)境下的測(cè)試框架、模糊測(cè)試服務(wù)端和測(cè)試用例集構(gòu)成。為了保證整個(gè)系統(tǒng)的擴(kuò)展性和移植性，這里的測(cè)試框架使用了UEFI下自我認(rèn)證測(cè)試系統(tǒng)的測(cè)試框架。同時(shí)為了便于目標(biāo)主機(jī)中的測(cè)試用例集獲取遠(yuǎn)端主機(jī)中生成的測(cè)試數(shù)據(jù)，實(shí)現(xiàn)了由模糊測(cè)試服務(wù)端和模糊測(cè)試客戶端構(gòu)成的模糊測(cè)試系統(tǒng)功能模塊，前者負(fù)責(zé)對(duì)Peach系統(tǒng)的調(diào)度以及測(cè)試數(shù)據(jù)的傳遞；后者為測(cè)試用例提供獲取測(cè)試數(shù)據(jù)的統(tǒng)一編程接口。模糊測(cè)試服務(wù)端和模糊測(cè)試客戶端之間通過(guò)網(wǎng)絡(luò)協(xié)議通信，這兩者也是模糊測(cè)試系統(tǒng)中的核心模塊。測(cè)試用例集中的測(cè)試用例與目標(biāo)代碼一一對(duì)應(yīng)，以從模糊測(cè)試客戶端獲取的測(cè)試數(shù)據(jù)為參數(shù)，通過(guò)接口調(diào)用的方式執(zhí)行目標(biāo)代碼進(jìn)行測(cè)試。

模糊測(cè)試系統(tǒng)下的測(cè)試用例在測(cè)試目標(biāo)代碼時(shí)，測(cè)試流程由6步構(gòu)成，如圖2所示。

圖2 測(cè)試流程

該測(cè)試過(guò)程具體流程描述如下：

(1)測(cè)試用例向模糊測(cè)試客戶端傳遞獲取測(cè)試數(shù)據(jù)的請(qǐng)求。

(2)模糊測(cè)試客戶端將請(qǐng)求封裝為特定的請(qǐng)求幀，并通過(guò)網(wǎng)絡(luò)協(xié)議傳遞給模糊測(cè)試服務(wù)端。

(3)模糊測(cè)試服務(wù)端解析請(qǐng)求幀后，以系統(tǒng)調(diào)用的方式啟動(dòng)Peach系統(tǒng)，生成測(cè)試數(shù)據(jù)。

(4)模糊測(cè)試服務(wù)端將生成的測(cè)試數(shù)據(jù)分片并封裝為特定的測(cè)試數(shù)據(jù)幀后，通過(guò)網(wǎng)絡(luò)協(xié)議傳遞給模糊測(cè)試客戶端。

(5)模糊測(cè)試客戶端接收測(cè)試數(shù)據(jù)幀后，經(jīng)過(guò)解析重組將測(cè)試數(shù)據(jù)傳遞給測(cè)試用例。

(6)測(cè)試用例以獲取的測(cè)試數(shù)據(jù)測(cè)試目標(biāo)代碼。

3 模糊測(cè)試系統(tǒng)的實(shí)現(xiàn)

在構(gòu)成模糊測(cè)試系統(tǒng)的4個(gè)組成部分中，由于模糊測(cè)試框架使用了現(xiàn)有的UEFI下自我認(rèn)證測(cè)試系統(tǒng)的測(cè)試框架，測(cè)試用例集的編寫也需要符合其規(guī)范[14]。測(cè)試數(shù)據(jù)生成引擎Peach本身并不支持所生成測(cè)試數(shù)據(jù)的導(dǎo)出，因此需要略微修改其源碼。模糊測(cè)試功能模塊作為銜接測(cè)試用例和測(cè)試數(shù)據(jù)生成引擎的重要模塊，是模糊測(cè)試系統(tǒng)實(shí)現(xiàn)的重點(diǎn)也是難點(diǎn)所在。模糊測(cè)試功能模塊的實(shí)現(xiàn)包括模糊測(cè)試客戶端、模糊測(cè)試服務(wù)端以及兩者間通信方式的設(shè)計(jì)實(shí)現(xiàn)。

模糊測(cè)試客戶端和模糊測(cè)試服務(wù)端之間的通信，有以下3點(diǎn)要求：支持可靠的數(shù)據(jù)傳遞；支持大容量數(shù)據(jù)的傳遞；簡(jiǎn)化數(shù)據(jù)傳遞流程，盡量降低負(fù)載。目前UEFI下并沒(méi)有提供同時(shí)支持以上3個(gè)條件的網(wǎng)絡(luò)協(xié)議。因此，基于傳輸控制協(xié)議(Transmission Control Protocol,TCP)設(shè)計(jì)實(shí)現(xiàn)輕量級(jí)文件傳輸協(xié)議(File Transfer Protocol,FTP)協(xié)議。在該輕量級(jí)FTP協(xié)議中定義了請(qǐng)求幀和測(cè)試數(shù)據(jù)幀，前者用于模糊測(cè)試客戶端向模糊測(cè)試服務(wù)端發(fā)起獲取測(cè)試數(shù)據(jù)的請(qǐng)求；后者用于模糊測(cè)試服務(wù)端向模糊測(cè)試客戶端傳遞生成的測(cè)試數(shù)據(jù)。定義的2類幀的幀格式中均只包含必需的域，其中請(qǐng)求幀由測(cè)試數(shù)據(jù)生成相關(guān)信息，以及一個(gè)可選的用于傳遞控制信息的域構(gòu)成；測(cè)試數(shù)據(jù)幀由幀重組相關(guān)信息，以及可變長(zhǎng)度的有效載荷構(gòu)成。

UEFI下的可執(zhí)行程序分為應(yīng)用程序和驅(qū)動(dòng)2類，驅(qū)動(dòng)中的功能函數(shù)以協(xié)議的形式供其他應(yīng)用程序和驅(qū)動(dòng)調(diào)用。這里將模糊測(cè)試客戶端實(shí)現(xiàn)為UEFI下的驅(qū)動(dòng)，對(duì)外提供模糊測(cè)試協(xié)議，用于測(cè)試數(shù)據(jù)的獲取。由于測(cè)試數(shù)據(jù)在遠(yuǎn)端主機(jī)生成，模糊測(cè)試協(xié)議需提供基本的連接建立，連接終止和網(wǎng)絡(luò)數(shù)據(jù)獲取功能。模糊測(cè)試協(xié)議的接口定義如下：

同時(shí)模糊測(cè)試協(xié)議中定義了測(cè)試數(shù)據(jù)格式和測(cè)試數(shù)據(jù)生成方式2個(gè)枚舉類型，分別對(duì)應(yīng)于希望Peach生成的測(cè)試數(shù)據(jù)格式，以及Peach中生成測(cè)試數(shù)據(jù)的2種方式——基于生長(zhǎng)和基于變異的數(shù)據(jù)生成方式。測(cè)試用例調(diào)用模糊測(cè)試協(xié)議的GetFuzzData獲取測(cè)試數(shù)據(jù)時(shí)，僅需提供測(cè)試數(shù)據(jù)格式和測(cè)試數(shù)據(jù)生成方式，GetFuzzData執(zhí)行流程如圖3所示。

圖3 GetFuzzData執(zhí)行流程

GetFuzzData的執(zhí)行由3個(gè)層次構(gòu)成，分別是邏輯控制層、數(shù)據(jù)處理層和網(wǎng)絡(luò)收發(fā)層。首先，邏輯控制層根據(jù)測(cè)試數(shù)據(jù)格式和測(cè)試數(shù)據(jù)生成方式，調(diào)用數(shù)據(jù)處理層中對(duì)應(yīng)的處理函數(shù)完成相應(yīng)的初始化并生成請(qǐng)求幀；接著，數(shù)據(jù)處理層調(diào)用網(wǎng)絡(luò)收發(fā)層中的網(wǎng)絡(luò)發(fā)送函數(shù)向模糊測(cè)試服務(wù)端傳遞請(qǐng)求幀，并通過(guò)網(wǎng)絡(luò)接收函數(shù)接收來(lái)自模糊測(cè)試服務(wù)端的測(cè)試數(shù)據(jù)幀分片，直到接收到完整的幀；最后，網(wǎng)絡(luò)收發(fā)層將重組后的測(cè)試數(shù)據(jù)向上層傳遞。

模糊測(cè)試服務(wù)端則實(shí)現(xiàn)為一個(gè)標(biāo)準(zhǔn)的服務(wù)端程序，監(jiān)聽(tīng)來(lái)自模糊測(cè)試客戶端的請(qǐng)求幀。模糊測(cè)試服務(wù)端通過(guò)請(qǐng)求幀，獲知執(zhí)行測(cè)試數(shù)據(jù)生成引擎Peach相關(guān)的輸入信息，并通過(guò)系統(tǒng)調(diào)用的方式執(zhí)行Peach生成測(cè)試數(shù)據(jù)。生成的測(cè)試數(shù)據(jù)，由模糊測(cè)試服務(wù)端依據(jù)測(cè)試數(shù)據(jù)幀的格式分片，封裝后向模糊測(cè)試服務(wù)端傳遞。同時(shí)，模糊測(cè)試服務(wù)端在后臺(tái)運(yùn)行記錄系統(tǒng)運(yùn)行狀態(tài)的子進(jìn)程。

4 實(shí)驗(yàn)結(jié)果與分析

本節(jié)以測(cè)試用例的代碼覆蓋率為指標(biāo)，對(duì)比基于模糊測(cè)試系統(tǒng)編寫的測(cè)試用例與基于原UEFI下自我認(rèn)證測(cè)試系統(tǒng)編寫的測(cè)試用例，并通過(guò)一個(gè)實(shí)際的安全漏洞揭示模糊測(cè)試系統(tǒng)如何挖掘UEFI固件高危安全漏洞[12]。

測(cè)試環(huán)境選取由EDK II Revision 13762編譯出的NT32[15]，NT32是UEFI Shell的模擬器，為測(cè)試用例提供了一個(gè)可執(zhí)行環(huán)境。測(cè)試數(shù)據(jù)生成引擎Peach選用的版本號(hào)為2.3.8。UEFI下代碼覆蓋率工具選用英特爾基于Bullseye[16]開(kāi)發(fā)的UEFI固件代碼覆蓋率測(cè)試工具。目標(biāo)代碼為UEFI固件中負(fù)責(zé)將可執(zhí)行文件載入內(nèi)存的映像驅(qū)動(dòng)(EDKII/Mde ModulePkg/Core/Dxe/Image/Image.c)，對(duì)比結(jié)果如圖4所示。

圖4 代碼覆蓋率對(duì)比

圖4中的結(jié)果顯示基于模糊測(cè)試系統(tǒng)開(kāi)發(fā)的測(cè)試用例，代碼覆蓋率平均提升超過(guò)了15%。其中部分函數(shù)的代碼覆蓋率幾乎沒(méi)有提升，如CoreExit，而有的則提升了1倍，如CoreLoadImage，這主要是因?yàn)楹笳呱婕傲舜罅颗c輸入數(shù)據(jù)結(jié)構(gòu)相關(guān)的操作，如對(duì)輸入測(cè)試數(shù)據(jù)格式的解析、合法性判斷等；前者恰恰相反，涉及操作與輸入數(shù)據(jù)結(jié)構(gòu)無(wú)關(guān)，如對(duì)內(nèi)存空間的清空操作等。合理構(gòu)造的測(cè)試數(shù)據(jù)，能夠通過(guò)盡可能多的合法性判斷代碼，因而代碼覆蓋率就高，也有助于觸發(fā)深層漏洞。

通過(guò)模糊測(cè)試系統(tǒng)可以挖掘出十分嚴(yán)重的安全漏洞，以NT32下GPT(GUIDed Partition Table)驅(qū)動(dòng)的一個(gè)緩沖區(qū)溢出漏洞為例，相關(guān)代碼如下：

以上代碼用于從磁盤中讀入數(shù)據(jù)。Line1采用固定大小EFI_PARTITION_ENTRY分配用于存儲(chǔ)磁盤數(shù)據(jù)的內(nèi)存空間。測(cè)試用例在執(zhí)行該目標(biāo)代碼時(shí)，若作為輸入的測(cè)試數(shù)據(jù)中的PrimaryHeader->SizeOfPartionEntry(Line7)項(xiàng)大于EFI_PARTITION_ENTRY，位于磁盤中的數(shù)據(jù)將會(huì)覆蓋后續(xù)的執(zhí)行代碼，導(dǎo)致UEFI固件運(yùn)行的崩潰。模糊測(cè)試服務(wù)端的后臺(tái)進(jìn)程能夠監(jiān)測(cè)到UEFI固件的崩潰狀態(tài)，并保存觸發(fā)漏洞的測(cè)試數(shù)據(jù)。結(jié)合該測(cè)試數(shù)據(jù)與微軟提供的集成開(kāi)發(fā)環(huán)境VS2008(Visual Studio 2008)可視化開(kāi)發(fā)套件的調(diào)試功能，將很容易確定相應(yīng)的漏洞。而在現(xiàn)實(shí)環(huán)境中，黑客完全可以通過(guò)構(gòu)造惡意的GPT表，使位于磁盤的數(shù)據(jù)覆蓋內(nèi)存相關(guān)區(qū)域，達(dá)到劫持系統(tǒng)的目的。

5 結(jié)束語(yǔ)

計(jì)算固件處于計(jì)算機(jī)系統(tǒng)的核心地位，自身的安全漏洞往往隱藏較深，需要滿足特定的條件才能被觸發(fā)，這成為了檢測(cè)UEFI固件漏洞的難點(diǎn)所在。本文提出的面向UEFI固件的模糊測(cè)試系統(tǒng)，通過(guò)模糊測(cè)試技術(shù)的應(yīng)用以及測(cè)試用例集的高代碼覆蓋率，保證了漏洞檢測(cè)的全面性和高效性，較好地解決了UEFI固件漏洞檢測(cè)的問(wèn)題。下一步的研究工作主要有以下2點(diǎn)：(1)添加對(duì)UEFI固件中網(wǎng)絡(luò)協(xié)議測(cè)試的支持；(2)基于文中提出的模糊測(cè)試系統(tǒng)，編寫更多的測(cè)試用例，全面測(cè)試UEFI固件的協(xié)議和服務(wù)。

[1]Zimmer V,Rothman M,Marisetty S.Beyond BIOS:Developing with the Unified Extensible Firmware Interface[M].2nd ed.[S.l.]:Intel Press,2010.

[2]周振柳,計(jì)算機(jī)固件安全技術(shù)[M].北京:清華大學(xué)出版社,2012.

[3]唐艷武,蔣 凡.上下文相關(guān)的軟件漏洞模式自動(dòng)提取方法[J].計(jì)算機(jī)工程,2010,36(17):51-56.

[4]Ding Sun,Tan H B K,Liu Kaiping,et al.Detection of Buffer Overflow Vulnerabilities in C/C++with Pattern Based Limited Symbolic Evaluation[C]//Proc.of the 36th International Conference on Computer Software and Applications.Lzmir,Turkey:[s.n.],2012:559-564.

[5]Yang Dingning,Zhang Yuqing,Liu Qixu.Blend Fuzz:A Model-based Framework for Fuzz Testing Programs with Grammatical Inputs[C]//Proc.of the 11th International Conference on Trust,Security and Privacy in Computing and Communications.Liverpool,UK:[s.n.],2012:1070-1076.

[6]李偉明,張愛(ài)芳,劉建財(cái),等.網(wǎng)絡(luò)協(xié)議的自動(dòng)化模糊測(cè)試漏洞挖掘方法[J].計(jì)算機(jī)學(xué)報(bào),2011,34(2):242-254.

[7]沈亞楠,趙榮彩,王小芹,等.基于文件規(guī)范描述的文件模糊測(cè)試[J].計(jì)算機(jī)工程,2010,36(16):52-53,59.

[8]Liu Zhi,Zhang Xiaosong,Li Xiongda.Proactive Vulnerability Finding via Information Flow Tracing[C]//Proc.of the 2nd International Conference on Multimedia Information Networking and Security.Nanjing,China:Nanjing University,2010:481-485.

[9]唐和平,黃曙光,張 亮.動(dòng)態(tài)信息流分析的漏洞利用檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué),2010,37(7):148-151.

[10]章 燁.Fuzz安全測(cè)試技術(shù)研究[D].西安:西安電子科技大學(xué),2010.

[11]Intel Corporation.EDK II Module Writer’s Guide Revision 0.01[EB/OL].[2013-06-18].http://www.intel.com/.

[12]姚頡文,謝康林,石永軍,等.基于EFI驅(qū)動(dòng)-協(xié)議模型的自我認(rèn)證測(cè)試系統(tǒng)[J].計(jì)算機(jī)仿真,2005,22(7):75-78.

[13]Sutton M,Greene A,Amini P.Fuzzing Brute Force Vulnerability Discovery[M].[S.l.]:Addison-Wesley,2006.

[14]Intel Corporation.UEFI SCT Case Writers Guide 0.91[EB/OL].[2013-06-18].http://www.uefi.org.

[15]Intel Corporation.EDK II Lab Setup&NT32 Build[EB/OL].[2013-06-18].http://uefidk.intel.com/.

[16]Bullseye Testing Technology.Bullseye Coverage Measurement Technique[EB/OL].[2013-06-18].http://www.bullseye.com/measurementTechnique.html.