【InForSec2023 年会论坛回顾】慕冬亮：辅助持续内核模糊测试的高效崩溃分类研究

慕冬亮老师首先向大家介绍了Linux Kernel的重要角色及其安全现状。Linux内核是全球使用最为广泛的主流操作系统内核。基于其构建的Linux系统是全球最重要的软件平台，它运行在异构多元化的计算环境之上，包括100%的超级计算机市场、82%的智能手机市场、68%的全球服务器操作系统、90%的大型计算机客户、90%的公有云工作负载、62%的嵌入式系统市场都在使用Linux。然而，现实是，linux内核通常是有漏洞的，从CVE统计信息中可看出，过去十年间，Linux内核平均每年有213个安全漏洞。即使如此，内核中很多漏洞都没有被记录在案，因为Linux内核维护人员并不怎么关心CVEs。同时，Linux内核权限级别更高，一旦被攻陷，将会造成非常严重的安全事件。

随后慕老师指出目前Linux内核漏洞发现与修复过程中存在的人工成本高这一现实问题。为了发现Linux内核中的安全漏洞，开源社区开发一些列模糊测试工具，如谷歌开发的Syzkaller，同时，为了能够持续性测试Linux内核，谷歌还开发了基于Syzkaller的持续性测试平台Syzbot。Syzbot通常每半天更新一次测试内核，并自动化向内核社区报告内核崩溃。截至目前为止，Syzbot共累积报告了4096个内核bug，修复了2969个内核bug。但是，这给软件开发人员带了巨大的工作负担，毕竟从漏洞报告到漏洞修复这中间需要大量分析工作，会消耗大量程序员的精力。

紧接着，慕老师引出了自己的研究内容，即高效的对产生的内核崩溃报告进行分析并分类，从而辅助程序员对内核漏洞进行修复。

接着慕老师展开介绍了自己围绕该目标所进行的两项研究工作，分别发表在网安顶NDSS 2022和S&P 2022上。

第一篇研究工作围绕如何消除重复崩溃报告这一目标展开。慕老师指出持续性测试大部分生成的漏洞报告都是重复的，是由相同的bug导致的崩溃。对其去重的启发式规则是利用报告中的信息进行聚类，例如报告题目中会包含崩溃类型和崩溃函数。

但是，慕老师指出如果聚类策略不准确，会对漏洞的验证效率和修复效率都会产生消极影响。

因此，慕老师认为对于漏洞报告重复性这一问题进行大规模的深入分析是十分必要的，慕老师旨在通过大规模分析回答如下几个关键问题：

慕老师介绍到，想要进行大规模分析，首先要解决的是数据集问题，如何收集一组真正重复的内核崩溃报告呢。慕老师的思路是，这些重复的崩溃报告都对应着相同的修复提交记录，通过这一特点，可以从修复提交记录出发，爬取分析的数据集。

之后慕老师介绍了他们的分析团队和分析流程，由5名专业的安全分析人员组成，在授权前提下进行了2400个人时的分析工作。

接着慕老师介绍了他们的主要分析结果：

（1）Bug报告重复是非常普遍的。47%的崩溃报告存在一个或多个重复。

（2）重复报告对bug分析和修复都引入了不小的开销。

（3）造成崩溃报告重复的主要因素有以下六种

最后，慕老师针对造成崩溃报告重复的主要因素提出了针对性的去重策略，并进行了实验测试，证明能够有效的进行报告去重。

第二篇工作则是围绕如何评估所报告的Bug的可利用潜力。慕老师首先指出针对Bug的可利用性评估是一件很重要但很有挑战的事情。

接着慕老师介绍了现有的针对Linux内核Bug的可利用性评估方案并指出了存在的问题。目前的可利用性评估方案主要是基于bug所显示的行为来决定的，例如UAF漏洞的可利用性一般是比较高的，而空指针异常的漏洞利用性则是比较低的，但是这种估计方案可能会忽略掉一些特征不明显的严重bug。

为了支持这一观点，慕老师介绍了一个他们发现的真实的案例，CVE-2021-3715，它在刚被报告时威胁评级很低，只是“警告”级别，也没有CVE编号，甚至很多下游的内核厂商并未对其进行专门修复。但是慕老师利用他们研发的工具重新评估并证实了这个漏洞的可利用性（可以被用于触发UAF漏洞），使得开发者重新认识了这个漏洞的严重性。

因此，慕老师认为一个漏洞可以具备多种不同的错误行为。

为了解决这个问题，慕老师提出了GREBE，一个对象驱动的内核模糊测试工具，基于Syzkaller实现。

随后，慕老师介绍了这个工具的设计全貌以及实验结果。

最后，慕老师对自己的这两项研究工作的内容进行了总结和分享。