OOB(Out-Of-Bounds)는 힙 메모리에서 발생하는 취약점 중 가장 강력한 취약점 중 하나이다. OOB 취약점을 이용하면 Array의 길이를 속여 해당 길이만큼의 메모리를 읽기 혹은 쓰기가 가능하기 때문에 공격자는 기밀 정보에 대한 무단 액세스를 악용할 수 있다. 본 논문에서는 동적 기호 실행과 쉐도우 메모리 테이블을 활용하여 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 힙 메모리 할당 및 해제 함수 후킹을 통해 쉐도우 메모리 테이블을 구축한다. 이후 메모리 액세스가 발생할 때, 쉐도우 메모리를 참조하여 OOB가 발생할 수 있는지를 판단하고, 발생 가능성이 존재할 경우 크래시를 유발하는 테스트케이스를 자동으로 생성한다. 제안하는 방법을 활용할 경우, 취약한 블록 탐색에 성공한다면 반드시 OOB를 유발하는 테스트케이스를 생성할 수 있다. 뿐만 아니라 전통적인 동적 기호 실행과는 다르게 명확한 목표 지점을 설정하지 않더라도 취약점 탐색이 가능하다.
OOB(Out-Of-Bounds)는 힙 메모리에서 발생하는 취약점 중 가장 강력한 취약점 중 하나이다. OOB 취약점을 이용하면 Array의 길이를 속여 해당 길이만큼의 메모리를 읽기 혹은 쓰기가 가능하기 때문에 공격자는 기밀 정보에 대한 무단 액세스를 악용할 수 있다. 본 논문에서는 동적 기호 실행과 쉐도우 메모리 테이블을 활용하여 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 힙 메모리 할당 및 해제 함수 후킹을 통해 쉐도우 메모리 테이블을 구축한다. 이후 메모리 액세스가 발생할 때, 쉐도우 메모리를 참조하여 OOB가 발생할 수 있는지를 판단하고, 발생 가능성이 존재할 경우 크래시를 유발하는 테스트케이스를 자동으로 생성한다. 제안하는 방법을 활용할 경우, 취약한 블록 탐색에 성공한다면 반드시 OOB를 유발하는 테스트케이스를 생성할 수 있다. 뿐만 아니라 전통적인 동적 기호 실행과는 다르게 명확한 목표 지점을 설정하지 않더라도 취약점 탐색이 가능하다.
Out-Of-Bounds (OOB) is one of the most powerful vulnerabilities in heap memory. The OOB vulnerability allows an attacker to exploit unauthorized access to confidential information by tricking the length of the array and reading or writing memory of that length. In this paper, we propose a method to ...
Out-Of-Bounds (OOB) is one of the most powerful vulnerabilities in heap memory. The OOB vulnerability allows an attacker to exploit unauthorized access to confidential information by tricking the length of the array and reading or writing memory of that length. In this paper, we propose a method to automatically detect OOB vulnerabilities in heap memory using dynamic symbol execution and shadow memory table. First, a shadow memory table is constructed by hooking heap memory allocation and release function. Then, when a memory access occurs, it is judged whether OOB can occur by referencing the shadow memory, and a test case for causing a crash is automatically generated if there is a possibility of occurrence. Using the proposed method, if a weak block search is successful, it is possible to generate a test case that induces an OOB. In addition, unlike traditional dynamic symbol execution, exploitation of vulnerabilities is possible without setting clear target points.
Out-Of-Bounds (OOB) is one of the most powerful vulnerabilities in heap memory. The OOB vulnerability allows an attacker to exploit unauthorized access to confidential information by tricking the length of the array and reading or writing memory of that length. In this paper, we propose a method to automatically detect OOB vulnerabilities in heap memory using dynamic symbol execution and shadow memory table. First, a shadow memory table is constructed by hooking heap memory allocation and release function. Then, when a memory access occurs, it is judged whether OOB can occur by referencing the shadow memory, and a test case for causing a crash is automatically generated if there is a possibility of occurrence. Using the proposed method, if a weak block search is successful, it is possible to generate a test case that induces an OOB. In addition, unlike traditional dynamic symbol execution, exploitation of vulnerabilities is possible without setting clear target points.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서 동적 기호 실행과 쉐도우 메모리 테이블을 활용하여 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안하였다. 제안하는 방법을 통해 취약한 블록 탐색에 성공한다면 반드시 크래시를 유발하는 테스트케이스를 생성할 수 있음을 증명했다.
본 논문에서는 동적 기호 실행(dynamic symbolic execution)과 쉐도우 메모리 테이블(shadow memory table)의 활용을 통해 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 힙 메모리 할당 및 해제 함수 후킹을 통해 쉐도우 메모리 테이블을 구축한다.
가설 설정
입력값의 조건이 int x > 11일 경우 32번 라인에서 힙 오버플로우가 발생한다. 만약 퍼저가 11보다 작은 정수를 생성했다고 가정해보자. 이 경우, 해당 바이너리의 취약한 블록을 지나쳤음에도 불구하고 크래시가 발생하지 않는다.
제안 방법
제안하는 방법의 효과를 확인하기 위해 바이너리 데이터셋에 대한 평가를 수행한다. 기존에 사용되었던 퍼징을 이용한 취약점 탐색 및 전통적인 DSE 기술 방식과의 비교를 통해 효율성을 검증한다.
본 논문에서는 동적 기호 실행(dynamic symbolic execution)과 쉐도우 메모리 테이블(shadow memory table)의 활용을 통해 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 힙 메모리 할당 및 해제 함수 후킹을 통해 쉐도우 메모리 테이블을 구축한다. 이후 메모리 액세스가 발생할 때, 쉐도우 메모리를 참조하여 OOB가 발생할 수 있는지를 판단하고, 취약점 발생 가능성이 존재할 경우 크래시를 유발하는 테스트케이스를 자동으로 생성한다.
본 논문에서 제안하는 핵심 개념은 쉐도우 메모리 테이블을 활용한 동적 기호 실행 기술에서 기반한다. 다음은 특정 입력값(int x > 11)이 전달되었을 때힙 오버플로우를 발생시키는 예제이다.
본 논문에서 제안한 도구는 파이썬 기반의 기호실행 도구인 Angr(A binary Analysis Framework)[6]를 확장하여 구현하였다. 주요 구성 요소들은 모두 파이썬으로 구현하였으며, Angr의 플러그인 형태로 동작한다.
먼저, 힙 메모리에 할당 및 해제가 발생했을 때마다 해당 영역을 쉐도우 메모리 테이블(shadow memory table)에 매핑(mapping)한다. 이 후, 해당 메모리 영역에 대한 모니터링을 통해 읽기 및 쓰기 등의 액세스를 확인하고, 액세스 크기의 심볼릭 마킹 여부를 확인한다. 만약 액세스 크기가 심볼릭 변수라면, 해당 힙 메모리 영역에서 취약점이 발생할 수 있는 여지가 있다고 판단하고, 크래시를 유발할 수 있는 제약조건을 생성한 뒤 강제로 삽입한다.
취약점 점검을 위해 사용된 동적 기호 실행 도구는 Angr이며, 동적 분석 및 계측(instrumentation)을 위해 파이썬 모듈을 활용했다. 이러한 파이썬 모듈을 활용해 라이브러리 후킹 및 심볼릭 수식 적용 등을 수행하였으며, 동적 계측 과정에서 쉐도우 메모리를 구축하고 후킹된 라이브러리를 통해 이를 관리했다.
만약 0x7F 즉, 0111 1111(2) 값이 기록되어 있다면 할당 크기는 8바이트 이상이며, 0xFE(1111 1110) 값으로 표기되는 마지막 위치를 찾을 때까지 루프를 반복하게 된다. 이와 같이, 인덱스를 통해 할당된 주소의 마지막 위치를 확인한 뒤 시프트 연산을 통해 할당된 힙 버퍼의 크기를 획득한다.
먼저, 힙 메모리 할당 및 해제 함수 후킹을 통해 쉐도우 메모리 테이블을 구축한다. 이후 메모리 액세스가 발생할 때, 쉐도우 메모리를 참조하여 OOB가 발생할 수 있는지를 판단하고, 취약점 발생 가능성이 존재할 경우 크래시를 유발하는 테스트케이스를 자동으로 생성한다.
이후 해당 영역에 대한 액세스가 발생할 때, 할당된 3200보다 큰 크기의 액세스를 발생시키는 제약조건을 삽입하고, 테스트케이스를 추출한다. 실험 결과 Fig.
제안하는 방법의 평가를 위해 과거 취약점 발생사례가 있는 소프트웨어를 활용했다. 대상 소프트웨어들은 사용자 입력값에 의해 액세스 크기가 조절 가능하며, 이로 인해 힙 오버플로우가 발생한다.
제안하는 방법의 효과를 확인하기 위해 바이너리 데이터셋에 대한 평가를 수행한다. 기존에 사용되었던 퍼징을 이용한 취약점 탐색 및 전통적인 DSE 기술 방식과의 비교를 통해 효율성을 검증한다.
제안하는 방법의 효율성을 검증하기 위해 CVE에 등록된 기존 취약점의 코드 스니핏을 활용했다. 실험을 통해 퍼징 및 전통적인 동적 기호 실행보다 효율적으로 힙 메모리 OOB 취약점 탐색이 가능함을 입증하였다.
제안하는 힙 메모리 취약점 탐지 기법은 동적 기호 실행(dynamic symbolic execution)과 address sanity check 기술을 응용한다. 먼저, 힙 메모리에 할당 및 해제가 발생했을 때마다 해당 영역을 쉐도우 메모리 테이블(shadow memory table)에 매핑(mapping)한다.
대상 소프트웨어들은 사용자 입력값에 의해 액세스 크기가 조절 가능하며, 이로 인해 힙 오버플로우가 발생한다. 퍼징 및 전통적인 기호 실행과의 비교를 수행했으며, 취약점이 발생하는 영역을 최초로 커버하는 시점을 기준으로 테스트케이스를 추출했다. 실험 결과, Table 5에서 나타난 것처럼 제안하는 도구를 이용해 힙 오버플로우를 발생시키는 정확한 테스트케이스를 추출할 수 있음을 확인할 수 있었다.
힙 메모리 할당 함수(malloc 등) 및 할당 해제함수(free 등)를 후킹하여 모니터링을 수행한다. 이를 통해 힙 메모리가 할당 및 해제될 경우 해당 정보를 쉐도우 메모리 테이블에 기록한다.
본 논문에서 제안하는 힙 메모리 취약점 자동 탐지 방법은 퍼징 기법과 전통적인 동적 기호 실행의 문제점을 극복한다. 힙 메모리에서 발생하는 모든 액세스에 대한 모니터링을 통해 쉐도우 메모리 테이블을 작성한다. 이를 이용해 32번 라인의 경우와 같은 메모리 쓰기가 발생했을 때, OOB가 발생할 수 있는 제약조건을 생성한 뒤 삽입한다.
대상 데이터
실험에 사용된 호스트 시스템은 Intel Corei7-3770 CPU 3.0GHz와 16GB RAM 사양의 16.04 Ubuntu 64bit 운영체제이다. 취약점 점검을 위해 사용된 동적 기호 실행 도구는 Angr이며, 동적 분석 및 계측(instrumentation)을 위해 파이썬 모듈을 활용했다.
이론/모형
04 Ubuntu 64bit 운영체제이다. 취약점 점검을 위해 사용된 동적 기호 실행 도구는 Angr이며, 동적 분석 및 계측(instrumentation)을 위해 파이썬 모듈을 활용했다. 이러한 파이썬 모듈을 활용해 라이브러리 후킹 및 심볼릭 수식 적용 등을 수행하였으며, 동적 계측 과정에서 쉐도우 메모리를 구축하고 후킹된 라이브러리를 통해 이를 관리했다.
성능/효과
2.3절에서 쉐도우 메모리 테이블을 통해 액세스가 발생한 영역에 할당된 크기를 획득 가능함을 보였다. 이전에 할당된 크기를 alloc_size라고 할 때, 액세스가 발생한 크기 access_size 보다 작을 경우를 제약조건으로 추가한다.
본 논문에서 제안하는 힙 메모리 취약점 자동 탐지 방법은 퍼징 기법과 전통적인 동적 기호 실행의 문제점을 극복한다. 힙 메모리에서 발생하는 모든 액세스에 대한 모니터링을 통해 쉐도우 메모리 테이블을 작성한다.
제안하는 방법을 통해 취약한 블록 탐색에 성공한다면 반드시 크래시를 유발하는 테스트케이스를 생성할 수 있음을 증명했다. 뿐만 아니라 전통적인 동적 기호실행과는 다르게 명확한 목표 지점을 설정하지 않더라도 취약점 탐지가 가능하며, 최소한의 탐색으로 테스트케이스를 생성함으로써 경로 폭발 문제도 간접적으로 완화시킬 수 있었다.
이후 해당 영역에 대한 액세스가 발생할 때, 할당된 3200보다 큰 크기의 액세스를 발생시키는 제약조건을 삽입하고, 테스트케이스를 추출한다. 실험 결과 Fig.9와 같이 이에 영향을 미치는 영역이 정상적으로 변조되었음을 확인할 수 있었고, 생성된 테스트케이스가 실제로 힙 오버플로우를 발생시키는 것을 확인할 수 있었다.
퍼징 및 전통적인 기호 실행과의 비교를 수행했으며, 취약점이 발생하는 영역을 최초로 커버하는 시점을 기준으로 테스트케이스를 추출했다. 실험 결과, Table 5에서 나타난 것처럼 제안하는 도구를 이용해 힙 오버플로우를 발생시키는 정확한 테스트케이스를 추출할 수 있음을 확인할 수 있었다.
제안하는 방법의 효율성을 검증하기 위해 CVE에 등록된 기존 취약점의 코드 스니핏을 활용했다. 실험을 통해 퍼징 및 전통적인 동적 기호 실행보다 효율적으로 힙 메모리 OOB 취약점 탐색이 가능함을 입증하였다.
본 논문에서 동적 기호 실행과 쉐도우 메모리 테이블을 활용하여 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안하였다. 제안하는 방법을 통해 취약한 블록 탐색에 성공한다면 반드시 크래시를 유발하는 테스트케이스를 생성할 수 있음을 증명했다. 뿐만 아니라 전통적인 동적 기호실행과는 다르게 명확한 목표 지점을 설정하지 않더라도 취약점 탐지가 가능하며, 최소한의 탐색으로 테스트케이스를 생성함으로써 경로 폭발 문제도 간접적으로 완화시킬 수 있었다.
후속연구
본 연구를 통해 힙 메모리 취약점 분석의 자동화가 가능함을 보였고, 소프트웨어 안전성 검증 자동화 연구 분야의 발전에 기여할 수 있을 것으로 기대한다.
이를 통해 힙 메모리가 할당 및 해제될 경우 해당 정보를 쉐도우 메모리 테이블에 기록한다. 이와 같이 수집한 힙 메모리에 할당된 주소 및 크기 정보는 추후 해당 정보를 OOB를 유발하는 제약조건 생성에 사용된다.
Memory[16] 등이 스택이나 전역 변수의 범위를 벗어나는 버그를 찾을 수 없다는 단점을 극복했다. 현재 퍼징 등의 기술과 결합해 메모리 에러 탐지에 유용하게 사용되지만, 본 논문에서 제안하는 방법과는 달리 C/C++로 작성된 소스코드를 대상으로만 적용이 가능하다는 한계점이 존재한다.
질의응답
핵심어
질문
논문에서 추출한 답변
OOB 취약점을 이용하여 공격자가 기밀 정보에 대한 무단 액세스를 할 수 있는 이유는 무엇인가?
OOB(Out-Of-Bound)는 힙 메모리에서 발생하는 취약점 중 가장 강력한 취약점 중 하나이다. OOB 취약점을 이용하면 Array의 길이를 속여 해당 길이만큼의 메모리를 읽기 혹은 쓰기가 가능하기 때문에 공격자는 기밀 정보에 대한 무단 액세스를 악용할 수 있다. 민감한 데이터에 대한 액세스 권한이 있는 제품의 보급이 증가함에 따라 잠재적으로 악용될 가능성이 있는 시스템이 늘어나고, 자동화된 소프트웨어 검사 도구가 더 많이 필요하게 되었다[1-2].
본 논문에서 제안하는 힙 메모리 취약점 탐지 기법은 어떤 기술을 응용하는가?
제안하는 힙 메모리 취약점 탐지 기법은 동적 기호 실행(dynamic symbolic execution)과 address sanity check 기술을 응용한다. 먼저, 힙 메모리에 할당 및 해제가 발생했을 때마다 해당 영역을 쉐도우 메모리 테이블(shadow memory table)에 매핑(mapping)한다.
본 논문에서 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안하여 무엇을 증명하였는가?
본 논문에서 동적 기호 실행과 쉐도우 메모리 테이블을 활용하여 힙 메모리에서 발생하는 OOB 취약점을 자동으로 탐지하는 방법을 제안하였다. 제안하는 방법을 통해 취약한 블록 탐색에 성공한다면 반드시 크래시를 유발하는 테스트케이스를 생성할 수 있음을 증명했다. 뿐만 아니라 전통적인 동적 기호실행과는 다르게 명확한 목표 지점을 설정하지 않더라도 취약점 탐지가 가능하며, 최소한의 탐색으로 테스트케이스를 생성함으로써 경로 폭발 문제도 간접적으로 완화시킬 수 있었다.
C. Details. "Vulnerability distribution of CVE security vulnerabilities by type". http://www.cvedetails.com/vulnerabilities-by-types.php.
DARPA. "Cyber Grand Challenge". https://www.darpa.mil/program/cyber-grand-challenge
SEREBRYANY, K., BRUENING, D., POTAPENKO, A., AND VYUKOV, D. "AddressSanitizer: A fast address sanity checker". In Proceedings of USENIX Annual Technical Conference. 2012.
T. Avgerinos, A. Rebert, S. K. Cha, and D. Brumley. "Enhancing symbolic execution with veritesting". In Proceedings of the International Conference on Software Engineering (ICSE), pages 1083-1094. ACM, 2014.
Y. Shoshitaishvili, R. Wang, C. Hauser, C. Kruegel, and G. Vigna. "Firmalice - automatic detection of authentication bypass vulnerabilities in binary firmware". In Proceedings of the Symposium on Network and Distributed System Security (NDSS), 2015.
CVE Details, "The ultimate security vulnerability datasource", https://www.cvedetails.com/cve/CVE-2016-2385/.
P. Godefroid, M. Y. Levin, and D. Molnar. SAGE: Whitebox fuzzing for security testing. Communications of the ACM, 55(3):40-44, 2012.
V. Chipounov, V. Kuznetsov, and G. Candea. S2E: A platform for in-vivo multi-path analysis of software systems. In Proceedings of the Sixteenth International Conference on Architectural Support for Programming Languages and Operating Systems, ASPLOS XVI, pages 265-278. ACM, 2011.
D. Caselden et al. Transformation-aware Exploit Gen- eration using a HI-CFG. Tech. rep. University of Cal- ifornia, Berkeley, 2013.
S. K. Cha, T. Avgerinos, A. Rebert, and D. Brumley. Unleashing Mayhem on binary code. In Proceedings of the IEEE Symposium on Security and Privacy, 2012.
N. Stephens, J. Grosen, C. Salls, A. Dutcher, R. Wang, J. Corbetta, Y. Shoshitaishvili, C. Kruegel, and G. Vigna, "Driller: Augmenting fuzzing through selective symbolic execution," in NDSS'16. Internet Society, pp. 1-16. 2016.
I. Haller, A. Slowinska, M. Neugschwandtner, and H. Bos. Dowsing for overflows: A guided fuzzer to find buffer boundary violations. In Proceedings of the USENIX Security Symposium, 2013.
V. Ganesh, T. Leek, and M. Rinard. Taint-based directed whitebox fuzzing. In Proceedings of the International Conference on Software Engineering (ICSE), 2009.
Nicholas Nethercote and Julian Seward. "Valgrind: A framework for heavyweight dynamic binary instrumentation". In Proc. of the ACM SIGPLAN Conference on Programming Language Design and Implementation (PLDI '07), pages 89-100, June 2007
Derek Bruening and Qin Zhao. "Practical memory checking with Dr. Memory". In Proc. of the International Symposium on Code Generation and Optimization (CGO '11), pages 213-223, April 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.