[논문]바이너리 분석을 통한 UNIX 커널 기반 File System의 TOCTOU Race Condition 탐지

이석원; 김문회; 오희국

doi:10.13089/jkiisc.2021.31.4.701

[국내논문] 바이너리 분석을 통한 UNIX 커널 기반 File System의 TOCTOU Race Condition 탐지
Detecting TOCTOU Race Condition on UNIX Kernel Based File System through Binary Analysis 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.31 no.4, 2021년, pp.701 - 713

이석원 (한양대학교 컴퓨터공학과 바이오인공지능융합전공) , 김문회 (한양대학교 컴퓨터공학과 바이오인공지능융합전공) , 오희국 (한양대학교 컴퓨터공학과 바이오인공지능융합전공)

초록
AI-Helper

Race Condition은 둘 이상의 프로세스가 하나의 공통 자원에 대해 입력이나 조작이 동시에 일어나 의도치 않은 결과를 가져오는 취약점이다. 해당 취약점은 서비스 거부 또는 권한 상승과 같은 문제를 초래할 수 있다. 소프트웨어에서 취약점이 발생하면 관련된 정보를 문서화하지만 종종 취약점의 발생 원인을 밝히지 않거나 소스코드를 공개하지 않는 경우가 있다. 이런 경우, 취약점을 탐지하기 위해서는 바이너리 레벨에서의 분석이 필요하다. 본 논문은 UNIX 커널기반 File System의 Time-Of-Check Time-Of-Use (TOCTOU) Race Condition 취약점을 바이너리 레벨에서 탐지하는 것을 목표로 한다. 지금까지 해당 취약점에 대해 정적/동적 분석 기법의 다양한 탐지 기법이 연구되었다. 기존의 정적 분석을 이용한 취약점 탐지 도구는 소스코드의 분석을 통해 탐지하며, 바이너리 레벨에서 수행한 연구는 현재 거의 전무하다. 본 논문은 바이너리 정적 분석 도구인 Binary Analysis Platform (BAP)를 통해 Control Flow Graph, Call Graph 기반의 File System의 TOCTOU Race Condition 탐지 방법을 제안한다.

Abstract ▼ AI-Helper

Race Condition is a vulnerability in which two or more processes input or manipulate a common resource at the same time, resulting in unintended results. This vulnerability can lead to problems such as denial of service, elevation of privilege. When a vulnerability occurs in software, the relevant information is documented, but often the cause of the vulnerability or the source code is not disclosed. In this case, analysis at the binary level is necessary to detect the vulnerability. This paper aims to detect the Time-Of-Check Time-Of-Use (TOCTOU) Race Condition vulnerability of UNIX kernel-based File System at the binary level. So far, various detection techniques of static/dynamic analysis techniques have been studied for the vulnerability. Existing vulnerability detection tools using static analysis detect through source code analysis, and there are currently few studies conducted at the binary level. In this paper, we propose a method for detecting TOCTOU Race Condition in File System based on Control Flow Graph and Call Graph through Binary Analysis Platform (BAP), a binary static analysis tool.

Keyword

표/그림 (16)

표 Table 1. 7PK – Time and State
그림 Fig. 1. TOCTOU Race Condition
그림 Fig. 2. Examples of general access/open usage including TOCTOU Race Condition vulnerability
그림 Fig. 3. Attack code using TOCTOU Race Condition vulnerability
그림 Fig. 4. Process flow when the TOCTOU Race Condition attack is successful
표 Table 2. Performance comparison of binary analysis tools for Mach-O binaries
그림 Fig. 5. Function symbol form found in actual Mach-O binary
표 Table 3. Classification of TOCTOU Pairs
표 Table 4. Classification of Check-Use Set
표 Table 5. Classification of Function Symbol
그림 Fig. 6. Vulnerability detection process within a single function
그림 Fig. 7. Vulnerability detection process between different functions
표 Table 6. CWE-367 Evaluation Dataset
표 Table 7. CWE-Checker Performance Valuation
표 Table 8. Proposed Approach PerformanceValuation
표 Table 9. Summary of comparison for the proposed approach vulnerability detection in Juliet test suite

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 정적 분석도구를 활용한 바이너리 분석을 통해 UNIX 커널 기반 File System의 TOCTOU Race Condition 탐지방법을 제안한다. 실제로 취약점을 포함한 소스코드의 바이너리 분석을 수행하였으며, 결과를 토대로 취약점을 유발하는 시그니처를 제안하였다.
바이너리 레벨에서의정적 분석을 수행하는 BAP 의 확장 모듈인 CWE-Checker 또한 기존에 연구된 기법들과 비교하였을 때는 정확성과 Coverage 면에서는 완전하지 못하다. 본 논문에서는 단일함수 에서만 발생하는 취약점 외에도 서로 다른 자원을 참조하는 경우와 Inter-procedure 간 발생 가능한 취약점을 탐지하는 것을 목표로 한다.
본 논문의 목표는 Linux 커널의 ELF 바이너리만을 대상으로 하는 것이 아닌, XNU 커널의 Mach-O 바이너리를 포함하여 UNIX 커널 기반의 File System을 대상으로 한 TOCTOU Race Condition 취약점을 탐지하는 것을 목표로 하고 있다. 취약점 탐지전략은 크게 두 가지의 경우로 나눠서 수행하고자 한다.
본 논문에서는 새로운 유형의 취약점을 찾는 데 주를 둔 것이 아닌 기존의 알려진 취약 점 유형에 대해서 효율적으로 찾아내기 위해 동적 분석이 아닌 정적 분석 방식을 채택하게 되었으며, 소스코드가 없는 특수한 상황 하에 신속한 보안검증을 할 수 있는 바이너리 레벨의 분석을 통한 UNIX 커널 기반의 File System TOCTOU Race Condition 탐지방법을 제안하였다.

가설 설정

이전의 연구에서 TOCTOU Race Condition을 탐지하기 위해 사용된 정적 분석 기법들은 Linux 환경을 기반으로 하며, 소스코드가 있다는 가정 하에 수행되었다. 따라서 동일한 UNIX 커널 기반의 운영체제인 Linux나 XNU라도 서로 다른 결과가 나올 수 있으며, 소스코드가 없는 경우에는 적용하기 어렵다는 단점이 있다.

제안 방법

본 논문에서는 정적 분석도구를 활용한 바이너리 분석을 통해 UNIX 커널 기반 File System의 TOCTOU Race Condition 탐지방법을 제안한다. 실제로 취약점을 포함한 소스코드의 바이너리 분석을 수행하였으며, 결과를 토대로 취약점을 유발하는 시그니처를 제안하였다. 또한, 해당 시그니처를 통해 취약점을 유발하는 함수 심볼들의 조합을 정의하였다.
그리고 상대적으로 가장 최근인 2019년에 공개된 CWE-Checker는 소스코드 레벨이 아닌 바이너리 레벨에서의정적 분석을 통해 취약점을 탐지하는 기법을 제안하였다. BAP의 확장 모듈로 본 논문에서 대상으로 하고 있는 CWE-367 외에도 다양한 취약점 탐지가 가능하며, 바이너리의 CFG를 생성하여 Check에 사용되는 함수를 Source, Use에 사용되는 함수를 Sink로 하여 도달 가능한 경우를 판단하여 TOCTOU Race Condition 취약점을 탐지한다. 하지만 이 기법은 단일함수 내에서만 발생하는 경우만 탐지가 가능하며, 참조하는 공유자원이 서로 다른 경우와 서로 다른 함수 내에서 발생 가능한 경우는 고려하지 않았기 때문에 오탐이 발생한다.
본 논문에서 제안하는 기법의 목표는 소스코드가 없는 상태에서 바이너리 분석을 통해 취약점을 탐지하고 Linux와 Mac OS에 상관없이 UNIX 커널 기반의 OS에서는 동일한 탐지 결과가 나오는 것이다. 특히 Mach-O 바이너리에서도 정확한 분석을 수행하기 위해 다양한 바이너리 분석 도구의 성능을 비교하였으며, 그 결과는 Table 2.
이를 이용한 분석도구는 대표적으로 IDA Pro, Angr, BAP, Radare2, Ghidra와 같은 다양한 분석도구들이 있으며, 각각의 도구마다 장단점이 있다. 그 중에서도 알려진 시그니처 패턴을 이용하여 취약점 탐지에 가장 적합한 것은 BAP이며, 확장 모듈인 CWE-Checker를 제공하므로 이를 기반으로 기존의 정적 분석 탐지 도구를 확장하여 보다 정확한 탐지도구를 개발하였다.
CFG를 이용한 기존의 탐지 방법은 적용할 수 없으므로 CWE-Checker의 탐지모듈에 Call Graph를 이용한 분석 방법을 직접 구현하여 서로 다른 함수 간 발생할 수 있는 취약점 탐지로 직을 추 가하였다.
기존의 Unix 커널 기반의 File System TOCTOU Race Condition 취약점을 탐지하기 위해서정적/동적 분석 방법을 막론하고 다양한 탐지 방법들이 제안되어 왔으며, 현재 CWE-Checker와 같이 바이너리 분석을 통해 취약점을 탐지하는 방식까지 제안이 되었다.

대상 데이터

총 180개의 샘플 데이터는 각각 Linux와 Mac OS에서 컴파일 하여 ELF 바이너리와 Mach-O 바이너리로 별도로 생성하여 탐지를 수행하였다.
은 본 논문에서 제안한 방법을 통해 확인한 결과이다. 이전과 동일하게 Linux의 ELF 바이너리 180개, XNU의 Mach-O 바이너리 180개의 샘플 데이터를 통해 실험을 진행하였으며, 기존 탐지도구에서 탐지하지 못한 서로 다른 함수 내에서 발생하는 Bad2 Case와 FP2 Case에 대해서도 대응할 수 있음을 확인하였다. 또한 단일함수 내에서 서로 다른 자원에 접근하는 경우에 발생하는 FP1 Case에 대해서도 오탐 없이 정확한 탐지를 수행하는 것을 확인하였다.

데이터처리

Mach-O 바이너리 탐지 또한 목표로 하고 있기 때문에 바이너리를 직접 확인할 필요가 있었으며, 바이너리 분석 도구인 BAP을 사용하여 실제 XNU 커널의 IR을 분석을 수행하였고 Linux에서 나타나는 함수 심볼과 동일한지 확인하였다. 실제로 확인한 결과 Linux에서 나타나는 함수의 심볼과 미세한 차이가 있음을 확인하였으며, 함수 심볼 앞에 ‘_’가 추가되어 나타나는 것을 확인할 수 있었다.

이론/모형

본 논문에서 제안하는 탐지도구는 바이너리 분석 도구로 BAP(Binary Analysis Platform)을 사용하였다. 이는 서로 다른 기종의 아키텍처에서도 적용 가능한 중간 표현 기반의 분석기술을 사용하기 때문이다.

성능/효과

또한, 해당 시그니처를 통해 취약점을 유발하는 함수 심볼들의 조합을 정의하였다. 실제 UNIX 커널 기반의 운영체제인 Linux와 XNU 커널의 바이너리인 ELF, Mach-O 바이너리를 대상으로 실험한 결과, TOCTOU Race Condition 취약점을 유발하는 224가지의 함수 조합에 대응 가능하며, 기존의 탐지 방법에서 발생하는 오탐을 개선하였다. 특히 대부분 소스코드 레벨에서 Linux의 ELF 바이너리를 대상으로 실험이 이뤄진 바는 있으나, 바이너리 레벨에서 XNU 커널의 Mach-O 바이너리를 대상으로 한 연구는 없었으므로 의미가 있다고 볼 수 있다.
은 CWE-Checker를 통해 확인한 결과이다. Linux의 ELF 바이너리 180개, XNU의 Mach-O 바이너리 180개의 샘플 데이터를 통해 실험을 진행한 결과로는 서로 다른 함수 내에서 발생하는 Bad2 Case와 FP2 Case에 대해서는 완전히 탐지하지 못하는 것을 확인할 수 있었다. 또한 단일함수 내에서 서로 다른 자원에 접근하는 경우에 False Positive가 발생하는 것이 확인되었다.
이는 Inter-procedure 간 발생할 수 있는 취약점에 대해서 반영하지 않은 것이며, 또한 Data Flow를 고려하지 않았기 때문에 FP1 Case로 인한 오탐이 다량으로 발생하였다. 또한, 초기의 CWE-Checker는 확장이 되어 있지 않으므로 Mach-O 바이너리를 아예 인식하지 못하지만, 확장을 한 후 Mach-O 바이너리에서 발견되는 심볼까지 추가로 반영한 결과, Mach-O, ELF 바이너리 모두 탐지되는 것을 확인할 수 있었다.
이전과 동일하게 Linux의 ELF 바이너리 180개, XNU의 Mach-O 바이너리 180개의 샘플 데이터를 통해 실험을 진행하였으며, 기존 탐지도구에서 탐지하지 못한 서로 다른 함수 내에서 발생하는 Bad2 Case와 FP2 Case에 대해서도 대응할 수 있음을 확인하였다. 또한 단일함수 내에서 서로 다른 자원에 접근하는 경우에 발생하는 FP1 Case에 대해서도 오탐 없이 정확한 탐지를 수행하는 것을 확인하였다.
는 본 논문에서 제안한 방법과 CWE-Checker의 결과를 비교하여 요약한 것이다. 본 논문에서 제안한 방법은 오탐을 줄임으로써 정확성을 보다 높아졌음을 확인할 수 있었다.
실험 결과에서는 본 논문에서 제안한 방법이 기존의 탐지도구인 CWE-Checker와 비교하여 False Positive, False Negative가 모두 발생하지 않았다. 특히, False Positive 발생 이 하나도 나오지 않은 부분에 대해서는 실험 대상으로 하고 있는 데이터 셋이 실제 상용 소프트웨어들과 비교하였을 때, 규모가 크지 않고 복잡도 또한 높지 않기에 본 논문에서 제안한 기법을 적용할 수 있었으며, 이와 같은 결과가 나타난 것으로 보인다.
실험 결과에서는 본 논문에서 제안한 방법이 기존의 탐지도구인 CWE-Checker와 비교하여 False Positive, False Negative가 모두 발생하지 않았다. 특히, False Positive 발생 이 하나도 나오지 않은 부분에 대해서는 실험 대상으로 하고 있는 데이터 셋이 실제 상용 소프트웨어들과 비교하였을 때, 규모가 크지 않고 복잡도 또한 높지 않기에 본 논문에서 제안한 기법을 적용할 수 있었으며, 이와 같은 결과가 나타난 것으로 보인다.
과거의 분석기법은 주로 소스코드가 있다는 상황을 전제하에 둔 소스코드 기반의 취약점 탐지 방식이었으므로, 소스코드가 없는 특수한 상황에서 해당 기법을 적용하는 것을 매우 어려울 것이다. 또한 동적 분석의 경우, 정확성이 높으며 잘 알려지지 않은 경우의 TOCTOU Race Condition을 탐지하는 데에 특화되어 있어 새로운 유형의 취약점을 찾는 데에 보다 유용하다.
기존의 탐지도구들과 비교하였을 때, 본 논문에서 제안한 탐지 방법을 적용한 도구는 바이너리를 이용한 분석도구보다 오탐이 적게 나오는 결과를 보였으며, 소스코드가 없이도 취약점을 정확하게 찾아낼 수 있음을 확인하였다.

후속연구

또한, 제안하는 방법에서는 동일한 파일포인터를 사용하거나 파일의 경로가 같은 경우만 대상으로 하였으며 절대/상대 경로를 대상으로 하거나 파일 경로를 입력받는 경우는 고려하지 않았으므로 보다 복잡한 경우에 대해서는 결과가 다르게 나올 수 있을 것으로 판단하며, Flow 위주의 분석 외에도 Context 를 기반으로 한 분석기법을 적용하여 정확도를 높이는 방법도 고려할 수 있을 것으로 보인다.
향후 연구에서는 실험에서 사용한 데이터 셋만이 아닌 실제 상용 소프트웨어를 대상으로 규모가 크고 복잡한 경우를 다룰 필요가 있으며, Flow 기반의 분석 외에도 Context 기반의 분석을 통해 정확성을 높이고자 한다. 그리고 본 논문에서 제시한 취약점이 나 오탐이 발생하는 경우 외에도 보다 다양한 경우에 대응할 수 있도록 제안한 방법을 개선하고자 한다.
향후 연구에서는 실험에서 사용한 데이터 셋만이 아닌 실제 상용 소프트웨어를 대상으로 규모가 크고 복잡한 경우를 다룰 필요가 있으며, Flow 기반의 분석 외에도 Context 기반의 분석을 통해 정확성을 높이고자 한다. 그리고 본 논문에서 제시한 취약점이 나 오탐이 발생하는 경우 외에도 보다 다양한 경우에 대응할 수 있도록 제안한 방법을 개선하고자 한다.
향후 연구를 통해 취약점 탐지를 위해 만들어진 코드가 아닌 실제 소프트웨어의 바이너리 분석을 통해 도구를 보다 개선하는 것을 목표로 하고 있으며, 실제 어플리케이션 내에서 발생하는 다양한 경우의 취약점 발생 유형에 대해서 분석하고 탐지하는 것을 향후 과제로 한다.

참고문헌 (20)

SPRi, "Global Software Market Stat," https://stat.spri.kr/posts/view/22299?codestat_sw_market_global, last accessed Feb. 2021.
MITRE CVE, "Common Vulnerability and Exposure", https://cve.mitre.org/, last accessed Feb. 2021.
MITRE CWE, "7PK - Time and State," https://cwe.mitre.org/data/definitions/361.html, last accessed Feb. 2021.
NIST National Vulnerability Database, "CVE-2020-3957," https://nvd.nist. gov/vuln/detail/CVE-2020-3957, last accessed Feb. 2021.
Github, "CWE Checker," https://github.com/fkie-cad/cwe_checker, last accessed Feb. 2021.
Wikipedia, "Executable and Linkable Format,"https://en.wikipedia.org/wiki/Executable_and_Linkable_Format, last accessed Feb. 2021.
Github, "Mach-O Format," https://github.com/aidansteele/osx-abi-macho-file-format-reference, last accessed Feb. 2021.
Wikipedia, "Intermediate Representation," https://en.wikipedia.org/wiki/Intermediate_representation, last accessed Feb. 2021.
Hex-rays, "IDA Pro Decompiler," https://www.hex-rays.com/products/idahome/, last accessed Feb. 2021.
Wang, Fish, and Yan Shoshitaishvili. "Angr-the next generation of binary analysis," IEEE Cybersecurity Development (SecDev), pp.8-9, 2017.
Github, "Angr," https://github.com/angr/angr, last accessed Feb. 2021.
Brumley, David, et al. "BAP: A binary analysis platform," International Conference on Computer Aided Verification, pp.463-469, 2011.
Github, "Binary Analysis Platform," https://github.com/BinaryAnalysisPlatform/bap, last accessed Feb. 2021.
Github, "Radare2," https://github.com/radareorg/radare2, last accessed Feb. 2021.
Bishop, Matt, and Michael Dilger. "Checking for race conditions in file accesses," Computing systems, vol. 9, no. 2, pp.131-152, 1996

상세보기
Chen, Hao, and David Wagner. "MOPS: an infrastructure for examining security properties of software," Proceedings of the 9th ACM Conference on Computer and Communications Security, pp.235-244, 2002.
Chess, Brian V. "Improving computer security using extended static checking," Proceedings 2002 IEEE Symposium on Security and Privacy, pp.160-173, 2002.
Dijkstra, Edsger W. "Guarded commands, nondeterminacy and formal derivation of programs," Communications of the ACM, vol. 18, no. 8, pp.453-457, Aug. 1975.

상세보기
Wei, Jinpeng, and Calton Pu. "TOCTTOU Vulnerabilities in UNIX-Style File Systems: An Anatomical Study," Proceedings of the 4th USENIX Conference on File and Storage Technologies (FAST), pp.155-167, 2005.
NIST SARD, "Juliet Test Suite," https://samate.nist.gov/SARD/testsuite.php, last accessed Feb. 2021.

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증