北京时间 8 月 17 日,国际顶级安全会议第二十六届 USENIX Security 在加拿大温哥华召开,360 冰刃实验室高级研究员范晓草在会议上做了题为《Digtool:A Virtualization-Based Framework for Detecting Kernel Vulnerabilities》的演讲,介绍冰刃实验室自主开发的 Windows 漏洞自动化挖掘系统以及四种类型的 Windows 漏洞自动挖掘方法。这意味着 360 成为首家独立研究并以第一作者单位身份在 USENIX Security 发表研究成果的中国公司。
(360 冰刃实验室研究员在第二十六届 USENIX Security 发表演讲)
USENIX Security 是信息安全领域「四大」顶级学术会议(此外还包括 S&P,CCS,NDSS)之一,始于上世纪 90 年代初。截至 2016 年,大陆地区仅数篇被录用,均为包含科研机构的联合研究成果,尚未有中国公司的独立研究成果被发表。拥有 20 多年历史的顶级安全会议首次迎来中国公司的独立研究成果展示,也标志着在学术安全研究领域,360 已经达到国际一流水平。
(信息安全领域「四大」顶级学术会议之一 USENIX Security)
在安全领域,发现操作系统(OS)内核中的漏洞并对其进行修补是操作系统安全性的关键,也是诸多安全研究人员钟情于漏洞挖掘的重要原因。但是目前在漏洞挖掘领域,尚未出现有效的 Windows 内核漏洞检测工具,对于诸如 Microsoft Windows 的封闭源代码操作系统,通常采用逆向分析的人工挖掘或是暴力 Fuzz,费时费力。
文章作者之一闫广禄博士介绍,Digtool 是 360 冰刃实验室自主开发的一款 Windows 漏洞自动化挖掘系统,主要利用「基于硬件的路径探测方法和基于硬件虚拟化的错误检测机制」进行检测,捕获程序执行过程中触发的漏洞。这种方法相比基于软件的方法,无需修改目标程序,同时效率更高。
谈到 Digtool 的特点,范晓草介绍称,这是第一款利用硬件虚拟化技术的实用化自动漏洞挖掘系统;也是一款「黑盒」漏洞挖掘系统,不需要基于源码即可完成漏洞挖掘;同时,Digtool 可以实现自动化、批量化工作。
Digtool 系统的虚拟化挖掘框架是 Digtool 最具技术含量的部分,相当于整个系统的基石。通过虚拟化挖掘框架,Digtool 能够成功捕获内核执行的各种动态行为,如内核对象分配,内核内存访问,线程调度和函数调用。进而通过分析框架进行分析,符合设定行为特征的即为漏洞。需要指出的是,通过 Digtool 系统自动挖掘的漏洞中,不同漏洞类型的检测误报率不同,有的需要人工介入确认,有的只要报出就是漏洞。
「Digtool 自动化挖掘系统成果显著,具有学术和工业双重价值。」360 冰刃实验室掌门人潘剑锋表示。利用 Digtool,冰刃实验室在短期的初步功能验证实验中就已经挖掘到 20 个微软内核漏洞,以及 41 个来自杀毒厂商的驱动漏洞。
冰刃实验室作为 360 系统内核安全研究的顶级团队,仅从 2016 年 2 月至 2017 年 7 月,就获得了谷歌、微软两大操作系统厂商的 139 次致谢。其中谷歌安卓内核漏洞致谢数目排名全球第一,另外还获得华为致谢 19 次、苹果致谢 2 次,同时还给高通报告 42 个漏洞并得到确认。
360 冰刃实验室(IceSword Lab)是 PC 与移动内核的研发实验室,研究方向是 PC 与移动操作系统内核、安全技术以及虚拟化技术。实验室的诸多研发成果成为安全产品线重要产品以及应用于多个部门的核心产品中,比如客户端沙箱;核晶嵌套硬件虚拟化防护产品;安全卫士 HIPS 的 FD/RD/ND/AD 防护驱动;国内、国际、企业版杀毒产品的监控防御驱动;360WiFi 硬件产品的 PC 端驱动;以及部分 Android 系统产品等。这些成果正在为数亿个人用户和百万企业用户提供安全保障。
