[논문]웹 어셈블리 모듈 안전성 검증을 위한 퍼징 방법

박성현; 강상용; 김연수; 노봉남

doi:10.13089/jkiisc.2019.29.2.275

[국내논문] 웹 어셈블리 모듈 안전성 검증을 위한 퍼징 방법
Fuzzing Method for Web-Assembly Module Safety Validation 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.2, 2019년, pp.275 - 285

박성현 (전남대학교 정보보안협동과정) , 강상용 (전남대학교 정보보안협동과정) , 김연수 (전남대학교 정보보안협동과정) , 노봉남 (전남대학교 정보보안협동과정)

초록
AI-Helper

웹 어셈블리는 웹 브라우저 자바스크립트의 성능 향상을 위해 설계된 새로운 바이너리 표준이다. 웹 어셈블리는 효율적인 실행 및 간결한 표현과 여러 언어를 바탕으로 작성된 코드를 네이티브에 가까운 속도로 구동될 수 있는 새로운 웹 표준으로 자리 잡고 있다. 하지만 현재 웹 어셈블리 취약성 검증은 웹 어셈블리 인터프리터 언어에 제한되어 있으며, 웹 어셈블리 바이너리 자체에 대한 취약성 검증은 부족한 상황이다. 따라서 웹 어셈블리의 자체적인 안전성 검증이 필요한 실정이다. 본 논문에서는 먼저 웹 어셈블리의 구동 방식과 현재 웹 어셈블리의 안전성 검증 방법에 대해서 분석한다. 또한 기존에 발생하였던 웹 어셈블리 안전성 검증 방식에 대해 살펴보고, 이에 따른 기존 안전성 검증 방식의 한계점을 분석한다. 최종적으로 기존 안전성 검증 방법의 한계점을 극복하기 위한 웹 어셈블리 API 기반 퍼징 방법을 소개한다. 이는 기존 안전성 검증 도구로 탐지할 수 없었던 크래시를 탐지함으로써 제안하는 퍼징의 효용성을 검증한다.

Abstract ▼ AI-Helper

Web-assemblies are a new binary standard designed to improve the performance of Web browser JavaScript. Web-assemblies are becoming a new web standard that can run at near native speed with efficient execution, concise representation, and code written in multiple languages. However, current Web-assembly vulnerability verification is limited to the Web assembly interpreter language, and vulnerability verification of Web-assembly binary itself is insufficient. Therefore, it is necessary to verify the safety of the web assembly itself. In this paper, we analyze how to operate the web assembly and verify the safety of the current web-assembly. In addition, we examine vulnerability of existing web -assembly and analyze limitations according to existing safety verification method. Finally, we introduce web-assembly API based fuzzing method to overcome limitation of web-assembly safety verification method. This verifies the effectiveness of the proposed Fuzzing by detecting crashes that could not be detected by existing safety verification tools.

Keyword

표/그림 (15)

그림 Fig. 1. Webassembly Compiler toolchain
그림 Fig. 2. Webassembly Binary Format
표 Table 1. Webassembly Module API
그림 Fig. 3. LibFuzzer fuzzing method
그림 Fig. 4. Jsfunfuzz fuzzing method
그림 Fig. 5. Generation of corpus through general LibFuzzer
표 Table 2. Webassembly Initial seed file
그림 Fig. 7. Proposed corpus Generation Algorithm
그림 Fig. 6. Proposed 코퍼스 Generation Method
그림 Fig. 8. Overview of Web-assembly API Fuzzing
그림 Fig. 9. Web assembly binary parsing algorithm
그림 Fig. 10. Webassembly Section dictionary file
그림 Fig. 11. Result of Fuzzed Script File(.js)
표 Table 3. Web Assembly Generation Efficiency
표 Table 4. Web Assembly Generation Efficiency

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 시드 코퍼스 관리(Seed 코퍼스 Management)를 통한 웹 어셈블리 바이너리 집합 생성 및 이를 통한 웹 어셈블리 API 기반 퍼징 방법을 제안한다. 먼저 다량의 초기 시드 코퍼스 파일을 확보하기 위해 LibFuzzer[3] 기반의 시드 코퍼스 관리와 그에 따른 유효 시드 파일 획득 전략으로 다량의 유요한 웹 어셈블리 바이너리 시드 집합을 생성한다.
웹 어셈블리(WebAssembly)는 자바스크립트가 아닌 다른 프로그래밍 언어로 작성된 코드를 브라우저에서 실행시키기 위한 방법으로 효율적인 실행과 간결한 표현을 위해 설계된 안전하고 이식 가능한 저수준 코드형식이다. 주요 목표는 브라우저에서 고성능 응용 프로그램을 활성화 하는 것이다. 현재 웹 어셈블리는 구글, 파이어폭스, 엣지, 사파리를 포함한 주요 브라우저 제작사와 W3C커뮤니티 그룹에서 표준을 정의하고 개발하고 있다.
다양한 형태로 변형된 웹 어셈블리 모듈을 생성하기 위한 변형 기반 퍼저인 LibFuzzer를 기반으로 할 수 있다. 이후 퍼저에 의해 생성된 바이너리에 대한 유효성 검증을 수행하여 실제 퍼징에 사용할 수 있는 웹 어셈블리 파일을 확보하는 것이 목적이다.
본 연구에서는 이렇게 차기 RIA 모듈로 주목받고 있는 웹 어셈블리에 대한 안전성 검증 연구를 수행하였다. 먼저 웹 어셈블리의 장단점 및 동작 매커니즘을 분석하고, 파일 포맷에 대한 정리를 수행하였다.

제안 방법

먼저 다량의 초기 시드 코퍼스 파일을 확보하기 위해 LibFuzzer[3] 기반의 시드 코퍼스 관리와 그에 따른 유효 시드 파일 획득 전략으로 다량의 유요한 웹 어셈블리 바이너리 시드 집합을 생성한다. 이후 웹 어셈블리 모듈 자체적인 퍼징을 위해 바이너리 파싱 및 정의된 섹션 정보 분석을 진행한다. 최종적으로 웹 어셈블리 모듈 퍼징을 위한 API 구성에 필요한 정보를 추출 후 퍼징을 진행한다.
Jsfunfuzz는 자바스크립트 기반의 퍼징 도구로써 자바스크립트의 문법 구조를 미리 정의하여 자바스크립트 퍼징을 수행 하게 된다. 미리 정의 된 문법 구조를 이용하여 랜덤하게 자바스크립트의 사용자 정의 함수로 구성된 테스트 케이스를 생성한다. 퍼징의 효율을 높이기 위해서 테스트 케이스의 컴파일 및 디컴파일 과정을 이용하며, 웹 브라우저의 취약점을 탐지할 수 있는지 검증한다[8].
미리 정의 된 문법 구조를 이용하여 랜덤하게 자바스크립트의 사용자 정의 함수로 구성된 테스트 케이스를 생성한다. 퍼징의 효율을 높이기 위해서 테스트 케이스의 컴파일 및 디컴파일 과정을 이용하며, 웹 브라우저의 취약점을 탐지할 수 있는지 검증한다[8].
자바스크립트에서 문법적인 오류를 발견하기 위한 퍼저로써 지정된 깊이(depth)에 따른 문법 구문을 생성한다. 생성 가능한 문법은 주로 반복문이나 조건문, 스위치 문, 예외 구문 등이다.
Chromium의 소스 코드 내에는 웹 어셈블리 모듈을 테스트하기 위한 퍼저를 또한 제공하고 있다. 첫 번째로, 해당 퍼저들을 이용해 웹 어셈블리 샘플파일을 생성하는 방법을 제안한다. 웹 어셈블리 테스팅을 위해 제공하는 퍼저의 종류는 v8_wasm_fuzzer, v8_wasm_code_fuzzer, v8_wasm_compile_ fuzzer등 총 11종의 퍼저가 존재한다.
먼저 코퍼스에 파일을 추가를 하여 초기 시드 집합을 생성한다. 이후 커버리지를 높이기 위해 mutation 과정에서 InsertByte, DeleteByte, ChangeByte 등의 방식을 통해 입력 파일을 변형한다. 이와 같은 방식으로 진행 될 경우 변형된 입력 바이너리가 유효하지 않은 웹 어셈블리 모듈로 생성될 확률이 높을 수 있다.
Fig 7의 알고리즘은 11종류의 퍼저 실행과 코퍼스의 유효성 검사를 1라운드(line 1~9)로 정의한다. 11종류의 퍼저가 실행이 되고, 실행 과정에서 생성된 전체 코퍼스를 두 단계(line 7,8)에 거쳐 파일의 유효성 검증을 실시한다. 첫 번째로 디버깅 용도로 지원된 텍스트 포맷형식(wat)으로 변환을 한다.
또 인스턴스화 과정뿐만 아니라 웹 어셈블리 관련 API를 불러오는 과정에서의 안전성 검증 또한 기존 퍼징을 이용해서 검증하기 어렵다는 한계점이 존재한다. 이러한 안전성 검증의 한계점을 극복하기 위해 자바스크립트 API 생성 기반 퍼저를 이용하여 검증을 수행한다.
제안 방법인 웹 어셈블리 API 퍼징의 전체적인 개요는 Fig 8와 같다. 먼저 기존에 수집된 유효한 웹 어셈블리 시드 집합 중에서 각각의 샘플 파일을 파싱하고 필요한 정보를 수집하여 자바스크립트 API를 구성하는데 필요한 정보를 추출한다.
네트워크를 통해 XHR 또는 fetch API를 사용하거나, indexedDB에서 FILE을 읽어오거나, 자바스크립트로 작성할 수도 있다. 본 연구에서는 자바스크립트로 해동 모듈을 읽어온 후 작성하는 방식을 취하는 방향으로 전개한다. 다음 단계는 WebAssembly.
웹 어셈블리는 총 12종류의 섹션을 갖고, 각각의 섹션은 모듈 내부의 함수의 변환 값으로 사용될 수 있다. 바이너리 파싱 과정을 통해 다양하게 분류되고 정의된 섹션을 분석하고, 자바스크립트 API 구성에 필요한 정보만을 추출하여 사전 파일 형태로 파싱된 정보를 가공한다.
본 장에서는 제안하는 API 퍼징 프레임워크를 이용한 웹 어셈블리 안전성 검증 방법을 테스팅 하기 위한 실험 및 평가를 수행한다. 먼저 기존 LibFuzzer의 방법보다 제안하는 시드 파일 확보 방법이 효율성이 있는지에 대해서 실험을 수행한다.
본 장에서는 제안하는 API 퍼징 프레임워크를 이용한 웹 어셈블리 안전성 검증 방법을 테스팅 하기 위한 실험 및 평가를 수행한다. 먼저 기존 LibFuzzer의 방법보다 제안하는 시드 파일 확보 방법이 효율성이 있는지에 대해서 실험을 수행한다. 또 웹 어셈블리 API 퍼징을 통해서 실제 취약점을 찾을 수 있는지에 대해 검증한다.
먼저 기존 LibFuzzer의 방법보다 제안하는 시드 파일 확보 방법이 효율성이 있는지에 대해서 실험을 수행한다. 또 웹 어셈블리 API 퍼징을 통해서 실제 취약점을 찾을 수 있는지에 대해 검증한다. 두 번째의 경우 기존 취약점의 재연을 통해 검증을 수행하여 도구의 효용성에 대해서 검증한다.
또 웹 어셈블리 API 퍼징을 통해서 실제 취약점을 찾을 수 있는지에 대해 검증한다. 두 번째의 경우 기존 취약점의 재연을 통해 검증을 수행하여 도구의 효용성에 대해서 검증한다.
LibFuzzer를 통해 생성된 전체 코퍼스 중 유효한 웹 어셈블리 파일의 비율과 제안하는 경로 삭제 방식을 통해 생성된 유효한 웹 어셈블리 모듈의 비율을 비교하여 제안하는 방식의 효율성을 검증한다.
각 실험은 다양한 시드 파일의 생성을 목적으로 하여 약 20시간의 실행을 통해 테스트가 진행하였으며, 각 방식을 통해 생성되는 전체 파일 중 유효한 웹 어셈블리 모듈이 차지하는 비율을 비교하였다.
웹 어셈블리 API 안전성 검증을 위해서 기존 취약점을 재연하는 방식으로 테스트를 진행하였다. 다음은 제안하는 웹 어셈블리 API 테스팅을 위한 dharma를 통한 퍼즈된 자바스크립트 파일 중 하나이다.
본 연구에서는 이렇게 차기 RIA 모듈로 주목받고 있는 웹 어셈블리에 대한 안전성 검증 연구를 수행하였다. 먼저 웹 어셈블리의 장단점 및 동작 매커니즘을 분석하고, 파일 포맷에 대한 정리를 수행하였다. 또한 웹 어셈블리 안전성 검증을 위한 기존의 퍼저에 대한 분석을 수행하였다.
먼저 웹 어셈블리의 장단점 및 동작 매커니즘을 분석하고, 파일 포맷에 대한 정리를 수행하였다. 또한 웹 어셈블리 안전성 검증을 위한 기존의 퍼저에 대한 분석을 수행하였다.
분석 내용을 바탕으로 웹 어셈블리 모듈 안전성 검증을 위한 웹 어셈블리 API 기반 퍼징 방식을 제안하였다. 먼저 다양한 웹 어셈블리 바이너리 생성을 위한 퍼징을 수행한다.
이후 웹 어셈블리 생성 기반 API 퍼저(generation-based API fuzzer)를 작성하여 웹 어셈블리와 관련된 자바스크립트 API를 생성하는 퍼징을 진행하였다. 이를 위해 웹 어셈블리 바이너리를 파싱하여 API에 필요한 정보를 획득하였고, 생성된 웹 어셈블리 API의 유효 비율을 높였다.
이후 웹 어셈블리 생성 기반 API 퍼저(generation-based API fuzzer)를 작성하여 웹 어셈블리와 관련된 자바스크립트 API를 생성하는 퍼징을 진행하였다. 이를 위해 웹 어셈블리 바이너리를 파싱하여 API에 필요한 정보를 획득하였고, 생성된 웹 어셈블리 API의 유효 비율을 높였다. 또한 발생한 크래시 중 기존 퍼저보다 더 많은 비율의 Crash를 탐지함으로써 퍼저의 취약점 탐지 도구로의 실제 활용 가능성을 증명하였다.

대상 데이터

실제 Libfuzzer(wasm-fuzzer)를 통해 유효한 웹 어셈블리 유효 시드 파일 생성의 효율을 검증하고 퍼징에 사용될 초기 시드 파일을 확보할 수 있다. 테스트 환경은 Ubuntu 16.04 (64bit), Chromium 61.0.3142.0 환경이다.
9%인 5,100개의 유효한 웹 어셈블리 모듈이 생성되었다. 제안하는 방식의 경우, 162,673개의 코퍼스가 생성되었으며, 이 중 23%인 37,511개의 유효한 웹 어셈블리 모듈이 생성되었다. 실험 결과, 제안하는 경로 삭제 전략을 통해 생성되는 전체 코퍼스의 수가 60% 증가하였으며 유효한 웹 어셈블리 모듈의 개수 역시 기존의 방법에 비해 4.

이론/모형

첫 번째로 디버깅 용도로 지원된 텍스트 포맷형식(wat)으로 변환을 한다. 변환을 위해 wabt(The WebAssembly Binary Toolkit)[9]를 활용한다. 텍스트 포맷 형식에서는 웹 어셈블리 모듈이 변형되는 과정(line 7)에서 섹션 데이터가 손상되어 섹션을 구분할 수 없거나, 확인할 수 없는 니모닉 등을 탐지하여 어셈블리 모듈의 유효성 검증을 할 수 있다.
js 파일을 생성한다. 이 과정에서는 dharma[10] 퍼징 방식을 적용한다. 생성된 .
웹 어셈블리 API 안전성 검증은 웹 어셈블리 바이너리 파싱을 통한 기본적인 구조 분석을 이용하여 데이터를 가공한 후 자바스크립트 문법에 맞는 statement를 생성함으로써 검증할 수 있다. 본 논문에서는 자바스크립트 API 퍼징 statement를 구성하기 위해서 dharma 퍼징 프레임[10] 워크를 사용한다.

성능/효과

최종적으로 웹 어셈블리 모듈 퍼징을 위한 API 구성에 필요한 정보를 추출 후 퍼징을 진행한다. 우리는 실험을 통해 기존의 안전성 검증 도구로 생성하기 어려웠던 크래시 파일을 생성해낼 수 냈으며, 이를 통해 실제로 해당 도구가 취약성 탐지에 활용이 가능함을 보였다.
해당 과정을 통해 예외처리 구문을 따르는 입력의 생성을 최소화 할 수 있다. 즉, 퍼저를 통해 예외처리 경로를 따르지 않는 웹 어셈블리 모듈을 우선적으로 생성함으로써 유효한 웹 어셈블리 모듈의 생성 비율을 높일 수 있다.
(line 8) 해당 과정에서는 텍스트 포맷으로는 변환이 되었으나 코드 영역의 오류를 탐지하여 유효한 웹 어셈블리만을 추출한다(line 9). 결과적으로 전체 코퍼스 중 유효한 웹 어셈블리 바이너리는 별도로 추출하여 코퍼스를 구성하는 경로 삭제 전략을 구현한다.
둘째, 웹 어셈블리 모듈을 컴파일 한다. 셋째, 호출 가능한 함수들을 export 또는 import 하고 컴파일 된 웹 어셈블리 모듈을 인스턴스화 한다.
제안하는 방식의 경우, 162,673개의 코퍼스가 생성되었으며, 이 중 23%인 37,511개의 유효한 웹 어셈블리 모듈이 생성되었다. 실험 결과, 제안하는 경로 삭제 전략을 통해 생성되는 전체 코퍼스의 수가 60% 증가하였으며 유효한 웹 어셈블리 모듈의 개수 역시 기존의 방법에 비해 4.6배의 높은 효율을 보였다.
table 4는 기존 도구와 제안하는 도구의 같은 시간 내에 크래시 발생 여부의 결과이다. 본 연구에서 제안한 도구에서 제된 시간에 더 많은 자바스크립트 Crash를 생성함으로써 제안하는 웹 어셈블리 API 퍼저의 효용성을 입증할 수 있었다. 하지만 제안하는 퍼저 또한 결국 기존의 무작위 변형의 한계점을 갖고 있기 때문에 항상 동일한 실험 결과가 나오지는 않을 수도 있다.
먼저 다양한 웹 어셈블리 바이너리 생성을 위한 퍼징을 수행한다. 이 과정에서 유효한 웹 어셈블리 바이너리 생성 비율을 높이기 위한 전략으로 경로 삭제 방식 알고리즘(path deletion method)를 제안하였고 이는 기존 방법보다 4.6배 높은 효율성을 증명하였다.

후속연구

웹 어셈블리 취약점 분석결과 웹 어셈블리 관련 취약점 중 브라우저 자체에서 웹 어셈블리 로드 및 인스턴스 생성에 대한 안전성 검증의 한계점이 존재한다. 또 인스턴스화 과정뿐만 아니라 웹 어셈블리 관련 API를 불러오는 과정에서의 안전성 검증 또한 기존 퍼징을 이용해서 검증하기 어렵다는 한계점이 존재한다. 이러한 안전성 검증의 한계점을 극복하기 위해 자바스크립트 API 생성 기반 퍼저를 이용하여 검증을 수행한다.
이를 위해 웹 어셈블리 바이너리를 파싱하여 API에 필요한 정보를 획득하였고, 생성된 웹 어셈블리 API의 유효 비율을 높였다. 또한 발생한 크래시 중 기존 퍼저보다 더 많은 비율의 Crash를 탐지함으로써 퍼저의 취약점 탐지 도구로의 실제 활용 가능성을 증명하였다.

질의응답

핵심어	질문	논문에서 추출한 답변
	웹 어셈블리의 정의는 무엇인가?	웹 어셈블리는 웹 브라우저 자바스크립트의 성능 향상을 위해 설계된 새로운 바이너리 표준이다. 웹 어셈블리는 효율적인 실행 및 간결한 표현과 여러 언어를 바탕으로 작성된 코드를 네이티브에 가까운 속도로 구동될 수 있는 새로운 웹 표준으로 자리 잡고 있다.
	웹 어셈블리 어떻게 생성되는가?	웹 어셈블리는 기본적으로 C파일을 이용하여 생성된다. 다음은 웹 어셈블리로 변환할 C함수이다.
	웹 어셈블리 언어가 독립적으로 실행되지 못하는 이유는 무엇인가?	웹 어셈블리 언어로 작성된 바이너리는 독립적인 실행이 불가하다. 이는 웹 인터프리터 언어인 자바스크립트의 종속적인 환경으로 인해 웹 어셈블리 모듈이 생성되고 호출되기 때문이다. 이러한 원인은 웹 어셈블리 취약성 검증을 어렵게 만드는 요소 중 하나이다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증