【PPT分享】华中科技大学李珍——VulDeePecker:一个基于深度学习的漏洞检测系统

1月18日,在清华大学举办的网络安全研究国际学术论坛InForSec 2019年年会上,华中科技大学李珍带来了《 VulDeePecker:一个基于深度学习的漏洞检测系统》的精彩报告。 Continue reading

【PPT分享】中国科学院信息工程研究所王琰——Revery:从漏洞PoC到可利用状态(迈向自动化漏洞利用的一小步)

1月19日,在清华大学举办的网络安全研究国际学术论坛InForSec 2019年年会上,中国科学院信息工程研究所王琰带来了《Revery:从漏洞PoC到可利用状态(迈向自动化漏洞利用的一小步)》的精彩报告。 Continue reading

LEMNA: 深度学习在网络安全应用中的可解释性

作者:郭文博( 宾夕法尼亚州立大学),Jun Xu(Stevens Institute of Technology)

简介

近年来,深度神经网络在网络安全应用上展现了强大的潜力。目前为止,我们已经看到了深度神经网络在恶意软件聚类,逆向工程,以及网络入侵检测中取得了很好的效果。尽管如此,由于神经网络的不透明特性,安全从业人员对于他们的使用依旧十分慎重。具体而言,深度神经网络可能由大量的数据集训练而成并且存在上百万个神经元。 这种高度的复杂性使得我们很难理解神经网络的某些决策,从而导致了诸如无法信任神经网络以及无法有效判断神经网络的错误等问题。 Continue reading

Talos: 用SWRR快速屏蔽程序漏洞

作者:黄 震  宾夕法利亚州立大学(Pennsylvania State University)计算机科学与工程系博士后

程序补丁是用于修复程序漏洞的通用方法。然而,用程序补丁来修复漏洞有一个经常被忽略的缺陷:“漏洞尚未修复窗口”(pre-patch window),即从一个漏洞被发现到其相应的补丁发布之间的时间窗。在漏洞尚未修复窗口,攻击者可以针对漏洞发起攻击。漏洞尚未修复窗口的存在是因为依靠程序员手工分析漏洞、编制和测试程序补丁需要一定的时间。尽管有大量研究致力于程序补丁的自动生成技术,目前此技术仍未被实际使用。文章作者通过对131个最近公开的程序漏洞和相应的补丁进行分析,发现漏洞尚未修复窗口平均长达52天 [2]。而且由于分析漏洞和编制程序补丁有一定的复杂性,总体来说漏洞尚未修复窗口很难人工缩短。即使软件开发商可以对其已知但尚未修复的程序漏洞进行保密,来降低这些漏洞被恶意利用(exploit)的风险,呈出不穷的零日漏洞仍然可以被攻击者使用 [1]。

Continue reading

浅析移动浏览器中UI漏洞的演变

Hindsight: Understanding the Evolution of UI Vulnerabilities in Mobile Browsers

作者:刘保证(清华大学)

本文发表于 NDSS 2018,原文作者:Meng Luo, Oleksii Starov, Nima Honarmand, Nick Nikiforakis

摘要

大部分移动安全研究都专注于恶意应用,但对广泛被使用的浏览器的安全研究却很少,而移动端的浏览器和桌面端的浏览器一样容易受到攻击。论文作者表示这篇文章则是首次从事移动端浏览器的安全研究,专注于手机浏览器的 UI 漏洞。论文作者根据前人的工作以及自己的调查,量化了 27 个 UI 相关的攻击,针对于超过 128 个浏览器家族以及 2324 个独立的浏览器版本(跨度超过 5 年)进行了浏览器 UI 的安全性研究,基本的步骤如下:

  • 从不同的源中收集了不同时期的浏览器样本。
  • 设计并实现了与浏览器无关的测试框架, Hindsight,自动化测试浏览器 UI 的漏洞。

Continue reading

采用差分分析技术测量和干扰 Anti-adblockers

Measuring and Disrupting Anti-Adblockers Using Differential Execution Analysis

作者:张凯(清华大学)

本文发表于 NDSS 2018,原文作者:Shitong Zhu , Xunchao Hu , Zhiyun Qian, Zubair Shafiq and Heng Yin

摘要

全球数百万人使用广告拦截器删除恶意广告,并防止因为广告追踪造成个人隐私泄露。而对于大多数提供免费在线内容和服务的网站来说广告收入是主要收入来源,故把广告拦截器看做主要威胁,他们部署anti-adblockers来检测和阻止adblockers。针对这种情况,广告拦截器反过来检测和过滤反广告拦截的脚本。广告拦截和反广告拦截之间的军备竞赛在反复进行。

Continue reading

Skyfire: 一种用于Fuzzing的数据驱动的种子生成工具

Skyfire: Data-Driven Seed Generation for Fuzzing

作者:杨鑫 (清华大学)

论文发表于 IEEE S&P 2017,原文作者:Junjie Wang, Bihuan Chen, Lei Wei, and Yang Liu

摘要

对于输入格式是高度结构化文件的程序来说,其处理流程一般是:语法解析–语义检查–程序执行。程序深层次的漏洞一般隐藏在程序执行阶段,而对于自动化的模糊测试(Fuzzing)来说很难触发该类漏洞。

Continue reading

DEADLINE:一个对内核中double-fetch错误进行精确检测的工具

Precise and Scalable Detection of Double-Fetch Bugs in OS Kernels

作者:倪远东 (清华大学)

论文发表于 IEEE S&P 2018,原文作者:Meng Xu, Chenxiong Qian, Kangjie Lu, Michael Backes, Taesoo Kim

摘要

操作系统的内核在系统调用的执行期间可能多次读取同一块用户空间的内存,若两次读取之间用户空间中的数据发生了变化,则可能导致double-fetch这种bug。之前的很多工作尝试通过静态或动态的方法来检测这种bug,然而由于对double-fetch定义不清晰,这些工作会导致大量的漏报和误报,还需要引入大量的人工分析。本文首先对double-fetch进行了正式和精确的定义,并设计了静态分析工具DEADLINE来自动化探测linux kernal中的double-fetch错误。工具发现了Linux系统中的23个新bug和freeBSD的1个新bug。

Continue reading

眼皮下的冒牌货:Combosquatting域名抢注的测量研究

Hiding in Plain Sight:  A longitudinal Study of Combosquatting Abuse

作者:陆超逸  (清华大学)

论文发表于CCS 2017,论文作者:Panagiotis Kintis, Najmeh Miramirkhani, Charles Lever, Yizheng Chen, Rosa Romero-Gómez, Nikolaos Pitropakis, Nick Nikiforakis, Manos Antonakakis

摘要

论文是一篇纯测量文章,主要关注了 Combosquatting 这种域名注册现象,并对它进行了第一次的系统性研究。Combosquatting 的特点是,通过向知名域名添加其他关键词的方式,构造并注册新的域名(例如alipay-login.com);这种域名可以用于钓鱼、恶意软件传播、APT攻击、品牌滥用等行为。作者通过测量发现,这样的域名规模非常庞大,达到百万量级,并且活跃时间非常长;案例分析表明,已经有一些这样的域名被用于恶意用途或攻击。

Continue reading