Continuous Intrusion: Characterizing the Security of Continuous Integration Services
S&P 2023
Yacong Gu, Lingyun Ying, Huajun Chai, Chu Qiao, Huajun Chai, Haixin Duan, Xing Gao
论文对当前7个主流的CI系统进行了深入分析,包括三个代码托管平台自带的CI服务及4个独立的CI服务。重点分析了这些CI服务的工作流程和实现细节,特别是它们与代码托管平台(如GitHub)、第三方服务平台(如S3云存储)之间的授权方式,以及CI任务执行时的资源隔离、授权级别等细节,从中发现4大类安全风险,并基于这些风险提出了4个新的攻击向量。
Investigating Package Related Security Threats in Software Registries
S&P 2023
Yacong Gu, Lingyun Ying, Yingyuan Pu, XiaoHu, Huajun Chai, Ruimin Wang, Xing Gao, Haixin Duan
论文以软件供应链中的海量软件包为分析对象,对npm、PyPI、Maven、Go、NuGet、Cargo等六大开源软件生态开展大规模安全性分析,深入解析了软件包的发布、下载、更新、删除等过程,识别出十二个软件供应链攻击向量,影响多个软件源和镜像站。
DitDetector: Bimodal Learning based on Deceptive Image and Text for Macro Malware Detection
ACSAC 2022
Jia Yan, Ming Wan, Xiangkun Jia, Lingyun Ying, Purui Su, Zhanyi Wang
论文提出以Office文档的宏诱骗信息作为检测目标,基于多模态机器学习算法,利用图像、文本两种模态诱骗信息检测带宏恶意文档。
HDiff: A Semi-automatic Framework for Discovering Semantic Gap Attack in HTTP Implementations
DSN 2022 Best Paper Runner-Up
Kaiwen Shen, Jianyu Lu, Yaru Yang, Jianjun Chen, Mingming Zhang, Haixin Duan, Jia Zhang, Xiaofeng Zheng
该论文提出了一种基于协议标准的语义差异安全问题分析框架——HDiff。它使用自然语言分析技术从RFC文档中自动提取规范约束,并利用差异测试技术自动化发现HTTP软件实现间的语义差异问题。HDiff在10个主流的HTTP软件中发现了14个语义差异漏洞,其中包括三个新发现的攻击变种,获得了Apache、Tomcat、Weblogic和微软IIS等知名软件厂商授予的7个新CVE(通用漏洞披露)编号。
Large-scale Security Measurements on the Android Firmware Ecosystem
ICSE 2022
Qinsheng Hou, Wenrui Diao, Yanhao Wang, Xiaofeng Liu, Song Liu, Lingyun Ying, Shanqing Guo, Yuanzhi Li, Meining Nie, Haixin Duan
该论文针对Android固件生态系统的安全性进行了大规模的综合测量,设计了一个分析框架来完成ROM爬取、ROM解析、补丁分析和预装APP分析。研究发现补丁延迟和缺失问题在Android固件中普遍存在。通过深入研究,最终在15家知名厂商设备中新发现了38个0day漏洞,其中32个获得了CVE/CNVD漏洞编号。
An Extensive Study of Residential Proxies in China
CCS 2022
Mingshuo Yang, Yunnan Yu, Xianghang Mi, Shujun Tang, Shanqing Guo, Yilin Li, Xiaofeng Zheng, Haixin Duan
该研究创新性地设计了基于自然语言处理的机器学习分类器,以自动化地捕获住宅网络代理服务商,并成功识别了399个RESIP(residential proxies,住宅代理服务提供者)服务商。此外通过基于流量标记的代理节点抓取机制等方法,研究者抓取到了900多万个RESIP IPs(其中51.36%位于中国),其中96.70%从未在以往的RESIP数据集中出现。
Detecting Logical Bugs of DBMS with Coverage-based Guidance
USENIX Security 2022
Yu Liang, Song Liu, Hong Hu
该研究提出通过结合覆盖率导向、面向有效性的突变和预言(Oracle)三者来检测 DBMS 的逻辑错误。研究中设计了一组通用 API 来解耦 Fuzzer 和预言(Oracle) 的逻辑,以便开发人员可以轻松地移植模糊测试工具来测试 DBMS,以及为现有的 Fuzzer 编写新的预言(Oracle)。其检测系统原型 SQLRight一共从SQLite、PostgreSQL 和 MySQL中检测到了18 个逻辑错误。
SFuzz: Slice-based Fuzzing for Real-Time Operating Systems
CCS 2022
Libo Chen, Quanpu Cai, Zhenbang Ma, Yanhao Wang, Hong Hu, Minghang Shen, Yue Liu, Shanqing Guo, Haixin Duan, Kaida Jiang, Zhi Xue
该研究提出了基于切片的模糊测试方法(Slice-based Fuzzing)。该方法能够解析繁杂的RTOS二进制执行体,定位系统中不同的处理外部输入任务,提取对应的代码片段和调用图(Call Graph),进一步应用污点导向的敏感控制流(Sensitive Control-flow)动态裁剪,使之能够适用于片段模拟,执行高效的混合模糊测试。通过将该方法应用到实际的RTOS设备中,在35个RTOS系统固件中找到了77个漏洞,其中67个已经获得了CVE/CNVD的认证,部分高危漏洞还通过破解赛GeekPwn以及天府杯予以披露。
Trampoline Over the Air: Breaking in IoT Devices Through MQTT Brokers
Euro S&P 2022
Huikai Xu, Miao Yu, Yanhao Wang, Yue Liu, Qinsheng Hou, Zhenbang Ma, Haixin Duan, Jianwei Zhuge, Baojun Liu
该研究提出并实现了基于影子代理的黑盒模糊测试框架,将云端的MQTT服务器用本地可控的影子代理替代来转发模糊测试用例,在保证测试合法性的同时还能够监控订阅端设备的异常,及时发现程序漏洞。论文提出的方案在11款物联网设备中检测到34个0day漏洞,其中17个漏洞可以使攻击者从互联网中任意位置发起攻击并完全控制设备。